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本 书 共 分 为 9 章 。 首 先 介绍 漏洞 的 分 类 特征 和 发 展 等 基本 知识 ,漏洞 扫描 的 技术 和 流程 ;然后 分 
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洞 扫描 和 防护 。 
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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 ,通信 ,物理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安 全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 话 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 、 专 家 。 

该 系列 教材 是 我 国 第 一 套 专 门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

中 体系 完整 结构 合理 、 内 容 先 进 。 

G@ 适应 面 广 :能 够 满足 信息 安全 .计算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

加 立体 配套 : 除 主 教材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 六 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 
年 初 正式 列 人 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


漏洞 扫描 与 防护 ”PE 


暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信 息 安 全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”成 立 。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信 息 安全 专业 指导 性 专业 规范 (由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 * 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安 全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 )、 国 家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 、. 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016]4 号 ) 。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专业 建设 和 人 才 
培养 ,促进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信息 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 从 书 基于 “高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 工 
作 基 础 和 成 果 ,阵容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精品 
教材 “中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 从 书 ” 将 根据 (高 等 学 校 信 息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教 材 建设 ,学术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 , 就 没有 网 络 安全 。 

为 了 更 多 、 更 快 .更 好 地 培养 网 络 安全 人 才 , 如 今 ,许多 高 校 都 在 努力 培 
养 网 络 安全 人 才 ,都 在 加 大 投入 ,并 聘请 优秀 老师 ,招收 优秀 学 生 ,建设 一 流 
的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教材 是 培养 网 络 空 间 安全 专业 人 才 的 关键 ,但 这 是 一 
项 十 分 艰巨 的 任务 。 原 因 有 二 :其 一 ,网 络 空间 安全 的 涉及 面 非常 广 ,包括 密 
码 学 .数学 .计算 机 、 操 作 系统 .通信 工程 .信息 工程 ,数据库 、 硬 件 等 多 门 学 
科 , 因 此 ,其 知识 体系 庞杂 、 难 以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 , 技 
术 发 展 更 新 非常 快 ,对 环境 和 师资 要 求 也 很 高 。 

“漏洞 扫描 与 防护 ?是 高 校 网 络 空间 安全 和 信息 安全 专业 的 基础 课程 , 通 
过 对 漏洞 各 知识 面 的 介绍 帮助 读者 掌握 漏洞 扫描 与 防护 。 本 书 涉 及 的 知识 
面 宽 , 共 分 为 9 章 。 

第 1 章 介 绍 漏洞 基本 知识 ,第 2 章 介绍 安全 漏洞 扫描 系统 ,第 3 章 介绍 
网 络 设备 漏洞 及 其 防范 措施 ,第 4 章 介 绍 操作 系统 漏洞 及 其 防范 措施 ,第 5 
童 介绍 数据 库 系统 漏洞 及 其 防范 措施 ,第 6 章 介 绍 Web 系统 漏洞 及 其 防范 
措施 ,第 7 章 介 绍 用 户 名 及 口令 猜 解 ,第 8 章 介绍 软件 配置 检查 ,第 9 章 介 绍 
典型 案例 。 

本 书 既 适合 作为 高 校 网 络 空间 安全 、 信 息 安 全 等 相关 专业 课程 的 教材 和 
参考 资料 ,也 适合 网 络 安全 研究 人 员 作 为 网 络 空间 安全 的 人 门 基础 读物 。 
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第 工 章 
一 漏洞 的 基本 知识 


2017 年 5 月 12 日 起 ,全 球 范围 内 爆发 基于 Windows 网 络 共享 协议 进行 攻击 传播 的 
蠕虫 恶意 代码 ,这 是 不 法 分 子 通过 改造 之 前 泄漏 的 NSA 黑客 武器 库 中 “永恒 之 蓝 ” 攻 击 
程序 发 起 的 网 络 攻击 事件 。5 个 小 时 内 ,包括 英国 、 俄 罗斯 等 欧洲 多 国 以 及 中 国 国内 多 所 
高 校 校内 网 ,大 型 企业 内 网 和 政府 机 构 专 网 中 招 ,被 勒索 支付 高 额 赎金 后 才能 解密 恢复 文 
件 , 对 重要 数据 造成 严重 损失 。 类 似 的 软件 漏洞 事件 层出不穷 ,这 也 间接 表明 , 随 着 全 球 
信息 化 的 迅猛 发 展 ,软件 在 便利 我 们 生活 的 同时 ,也 给 我 们 带 来 了 很 大 的 危害 ,其 安全 问 
题 日 益 突出 。 软 件 漏洞 是 安全 问题 的 根源 之 一 。 随 着 互联 网 和 软件 技术 的 不 断 发 展 , 软 
件 漏洞 的 数量 日 益 增加 ,造成 的 危害 也 越 来 越 大 ,由 其 引发 的 信息 窃取 ,资源 被 控 、 系 统 骨 
溃 等 问题 会 对 国民 经 济 、. 社 会 稳定 等 产生 重大 威胁 。 因 此 ,对 软件 漏洞 的 研究 和 防护 日 益 
受到 重视 。 

本 章 主要 介绍 漏洞 的 基础 知识 。 通 过 本 章 的 学 习 , 可 以 理解 漏洞 的 定义 和 成 因 ,漏洞 
的 特征 及 危害 .常见 的 漏洞 类 型 以 及 漏洞 的 现状 和 未 来 发 展 趋势 。 


1.1 漏洞 概述 


1.1.1 漏洞 的 定义 


漏洞 (vulnerability) 是 指 计算 机 系统 的 硬件 .软件 ,协议 在 系统 设计 .具体 实现 ,系统 
配置 或 安全 策略 上 存在 的 缺陷 和 不 足 。 漏 洞 本 身 并 不 会 导致 系统 损坏 ,但 它 能 够 被 攻击 
者 利用 ,从 而 获得 计算 机 系统 的 额外 权限 ,使 攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系 
统 ,影响 计算 机 系统 的 正常 运行 ,甚至 造成 安全 损害 。 

微软 安全 响应 中 心 对 漏洞 的 定义 为 : 即使 在 使 用 者 合理 配置 了 产品 的 条 件 下 ,由 于 
产品 自身 存在 的 缺陷 ,产品 的 运行 可 能 被 改变 ,产生 设计 者 未 预料 到 的 后 果 , 并 可 能 最 终 
导致 安全 性 被 破坏 的 问题 ,其 主要 包括 使 用 者 系统 被 非法 侵占 、 数 据 被 非法 访问 并 泄漏 ， 
系统 拒绝 服务 等 。 

漏洞 的 概念 早 在 1947 年 汉 ，。 诺 依 曼 建立 计算 机 系统 结构 理论 时 就 有 所 提 及 。 他 认 
为 计算 机 的 发 展 和 自然 生命 有 相似 性 ,一 个 计算 机 系统 也 有 天 生 的 类 似 基 因 的 缺陷 ,也 可 
能 在 使 用 和 发 展 的 过 程 中 产生 意 想不到 的 问题 。 每 个 平台 无 论 是 硬件 ,还 是 软件 ,都 可 能 
存在 漏洞 ,漏洞 的 影响 范围 可 能 包括 硬件 和 软件 ,如 系统 本 身 及 其 支撑 软件 .网络 客户 和 
服务 器 软件 、 网 络 路 由 器 和 安全 防火 墙 等 。 
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1.1.2 漏洞 的 成 因 


产生 漏洞 的 原因 有 很 多 ,大 体 上 可 分 为 技术 角度 、 经 济 角 度 和 应 用 环境 角度 三 大 类 
成 因 。 


1. 技术 角度 

从 技术 角度 来 说 ,计算 机 系统 漏洞 又 被 分 为 两 种 : 第 一 种 是 应 用 系统 自身 存在 的 “ 先 
天 性 漏洞 ”; 第 二 种 是 在 应 用 系统 的 开发 过 程 中 由 于 开发 人 员 的 疏忽 而 造成 的 “后 天 性 漏 
洞 ”。 从 客观 上 来 说 ,用 户 使 用 的 应 用 系统 种 类 多 样 ,开发 迅速 ,所 以 应 用 软件 系统 自身 就 
存在 一 些 固有 的 安全 隐患 ,这 种 由 于 硬件 而 先天 就 存在 的 漏洞 体现 了 应 用 系统 的 脆弱 性 。 
从 主观 上 来 说 ,当前 的 应 用 系统 大 都 依托 人 工 进行 研发 ,而 部 分 开发 人 员 在 设计 应 用 软件 
时 可 能 缺乏 一 定 的 安全 知识 和 经 验 。 即 使 是 专门 的 安全 研究 人 员 , 也 有 可 能 在 开发 过 程 
中 存在 考虑 不 周 ,不 够 完备 的 情况 ,这 些 主观 的 人 为 因素 使 得 应 用 系统 不 可 避免 地 存在 安 
全 漏洞 。 


2. 经 济 角 度 

计算 机 系统 的 安全 性 不 是 显 性 价值 ,厂商 要 实现 安全 性 ,就 要 额外 付出 巨大 的 代价 。 
厂商 更 加 重视 计算 机 系统 的 功能 、 性 能 、 易 用 性 ,而 不 愿意 在 安全 质量 上 做 更 大 的 投入 ,其 
至 某 些 情况 下 ,为 了 提高 计算 机 系统 效率 而 降低 其 安全 性 ,结果 导致 计算 机 系统 安全 问题 
越 来 越 严重 ,这 种 现象 可 以 进一步 归结 为 经 济 学 上 的 外 在 性 。 


3. 应 用 环境 角度 

互联 网 已 经 逐渐 融和 信人 类 社会 的 方方面面 ,伴随 互联 网 技术 与 信息 技术 的 不 断 融 合 
与 发 展 , 导 致 计算 机 系统 的 运行 环境 发 生 改 变 , 从 传统 的 封闭 .静态 和 可 控 变 为 开放 、 动 态 
和 难 控 , 攻 易 守 难 的 矛盾 进一步 增强 。 

同时 , 随 着 移动 互联 网 和 物 联网 的 不 断 发 展 ,它们 与 互联 网 共同 构成 了 更 加 复杂 的 异 
构 网 络 。 在 这 个 比 互联 网 网 络 环境 还 要 复杂 的 应 用 环境 下 ,漏洞 类 型 和 数量 急剧 增加 , 漏 
洞 产 生 的 危害 和 影响 远 远 超过 在 非 网 络 或 同 构 网 络 环境 下 漏洞 的 危害 和 影响 程度 。 


1.2 漏洞 的 特征 与 危害 


1.2.1 漏洞 的 特征 

漏洞 是 一 个 抽象 的 概念 ,具有 如 下 特征 。 

1. 漏洞 是 一 种 状态 或 条 件 ,表现 为 不 足 或 者 缺陷 

漏洞 的 存在 并 不 会 直接 对 系统 造成 损害 ,但 是 它 可 以 被 攻击 者 利用 ,从 而 造成 对 系统 
安全 的 威胁 .破坏 ,影响 计算 机 系统 的 正常 运行 ,甚至 造成 损坏 。 计算 机 系统 漏洞 也 不 同 
于 一 般 的 计算 机 故障 ,漏洞 的 恶意 利用 能 够 影响 人 们 的 工作 和 生活 ,甚至 会 带 来 灾难 性 的 
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后 果 。 


2. 漏洞 并 不 都 能 进行 自动 检测 

漏洞 自动 检测 技术 能 够 低 成 本 ,高 效率 地 发 现 信息 系统 的 安全 漏洞 ,但 并 不 是 所 有 漏 
洞 都 能 够 进行 自动 检测 ,事件 型 漏洞 就 只 能 依靠 人 工 挖掘 ,而 且 潜在 的 事件 型 漏洞 的 数量 
可 能 还 要 多 于 通用 型 漏洞 。 另 外 ,为 了 避免 对 目标 服务 器 产生 负面 影响 ,安全 检测 程序 常 
常会 选择 性 忽略 某 些 漏洞 ,如 文件 上 传 和 下 载 等 。 所 以 ,以 安全 检测 为 目的 的 漏洞 扫描 会 
存在 一 定 的 漏 报 和 误 报 。 


3. 漏洞 与 时 间 紧 密 相关 

一 个 系统 从 发 布 时 起 , 随 着 用 户 的 深入 使 用 ,系统 中 存在 的 漏洞 便 会 不 断 地 被 发 现 。 
早期 被 发 现 的 漏洞 也 会 不 断 被 系统 供应 商 发 布 的 补丁 修补 ,或 在 以 后 发 布 的 新 版 本 中 得 
到 纠正 。 在 新 版 系统 纠正 旧版 中 漏洞 的 同时 ,也 会 引入 一 些 新 的 漏洞 和 错误 。 因 而 , 随 着 
时 间 的 推移 , 旧 的 漏洞 不 断 消失 ,新 的 漏洞 不 断 出 现 。 漏 洞 问 题 是 长 期 存在 的 ,变化 的 只 
是 漏洞 的 内 容 。 


4. 漏洞 通常 由 不 正确 的 系统 设计 或 错误 逻辑 造成 

在 所 有 的 漏洞 类 型 中 ,逻辑 错误 所 占 的 比例 最 高 。 绝 大 多 数 的 漏洞 是 由 于 疏 忽 造 成 
的 。 数 据 处 理 ( 如 对 变量 赋值 ) 比 数值 计算 更 容易 出 现 馆 辑 错 误 , 过 小 和 过 大 的 程序 模块 
都 比 中 等 程序 模块 更 容易 出 现 错误 。 

5. 漏洞 会 影响 大 范围 的 软 硬 件 设 备 

漏洞 的 影响 范围 非常 广 。 也 就 是 说 ,在 操作 系统 、 网 络 客户 和 服务 器 软件 .网 络 路 由 
器 和 安全 防火 墙 等 不 同 的 软 硬 件 设备 中 都 可 能 存在 着 不 同 的 安全 漏洞 问题 。 具 体 而 言 ， 
在 不 同 种 类 的 软 、 硬 件 设备 , 同 种 设备 的 不 同 版 本 之 间 ,由 不 同 设备 构成 的 不 同系 统 之 问 ， 
以 及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 各 自 不 同 的 安全 漏洞 问题 。 

1.2.2 漏洞 的 危害 

漏洞 的 存在 虽然 不 会 主动 威胁 系统 的 正常 运行 ,但 由 于 别有用心 的 人 的 存在 ,使 得 漏 
洞 直接 威胁 着 系统 安全 。 漏 洞 的 存在 ,使 得 病毒 得 以 传播 ,网 络 攻击 得 以 进行 。 通 常 从 以 
下 5 个 方面 评估 漏洞 对 系统 安全 特性 造成 的 危害 。 

1. 系统 的 完整 性 (integrity) 

攻击 者 可 以 利用 漏洞 入 侵 系 统 ,能够 在 未 经 授权 的 情况 下 对 存储 或 传输 过 程 中 的 信 
息 进 行 删除 .修改 ,伪造 . 乱 序 、. 重 放 、 插 入 等 破坏 操作 ,从 而 破坏 计算 机 系统 的 完整 性 。 

2. 系统 的 可 用 性 (availability) 

攻击 者 利用 漏洞 破坏 系统 或 者 阻止 网 络 正常 运行 ,导致 信息 或 网 络 服务 不 可 用 , 即 合 
法 用 户 的 正常 服务 要 求 得 不 到 满足 ,从 而 破坏 了 系统 的 可 用 性 。 

3. 系统 的 机 密 性 (confidentiality) 

攻击 者 利用 漏洞 给 非 授权 的 个 人 和 实体 泄漏 受 保护 的 信息 。 需 要 注意 的 是 ,在 很 多 
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场景 下 ,系统 的 机 密 性 和 完整 性 是 交 秋 的 。 


4. 系统 的 可 控 性 (controllability) 
攻击 者 利用 漏洞 ,使 得 系统 对 于 合法 用 户 而 言 处 在 “失控 ”状态 ,从 而 破坏 系统 对 信息 
的 控制 能 力 。 


5. 系统 的 可 靠 性 (reliability) 
攻击 者 利用 漏洞 对 用 户 认可 的 质量 特性 (信息 传递 的 迅速 性 、 准 确 性 以 及 连续 地 转移 
等 ) 造 成 危害 ,也 就 是 指 系统 无 法 在 规定 的 条 件 和 时 间 完 成 规定 的 功能 。 


13 漏洞 的 分 类 方式 


漏洞 的 分 类 方法 有 很 多 。 从 漏洞 作用 方式 看 ,可 以 分 为 本 地 提 权 漏洞 .远程 代码 执行 
漏洞 .拒绝 服务 漏洞 等 ;从 漏洞 的 普遍 性 看 ,又 可 以 分 为 通用 型 漏洞 .事件 型 漏洞 和 0day 
漏洞 。 


1.3.1 漏洞 的 作用 方式 


1. 本 地 提 权 漏洞 

本 地 提 权 漏洞 是 指 可 以 实现 非法 提升 程序 或 用 户 的 系统 权限 ,从 而 实现 越权 操作 的 
安全 漏洞 。 生 活 中 常见 的 苹果 手机 越狱 , 安 卓 手机 Root, 实 际 上 都 是 利用 本 地 提 权 漏洞 
实现 的 ,目的 是 让 使 用 者 可 以 获得 iOS 系统 或 安 卓 系统 禁止 用 户 拥有 的 系统 权限 。 利 用 
此 类 漏洞 ,恶意 程序 可 以 非法 访问 某 些 系统 资源 ,进而 实现 盗窃 信息 或 系统 破坏 。 

2. 远程 代码 执行 漏洞 

现代 计算 机 系统 大 多 可 以 远程 登录 或 访问 ,但 必须 在 设备 开启 了 远程 访问 功能 ,并 且 
访问 者 的 登录 账号 拥有 远程 访问 权限 的 情况 下 才 行 。 而 远程 代码 执行 漏洞 ,就 是 指 无 须 
验证 账号 的 合法 性 ,就 可 以 实现 远程 登录 访问 的 安全 漏洞 。 

远程 代码 执行 漏洞 也 是 最 危险 的 一 类 安全 漏洞 ,如 冲击 波 、 熊 猫 烧香 、 永 恒 之 蓝 勒 索 
蠕虫 (WannaCry) 等 超级 病毒 能 够 实现 快速 大 规模 传播 ,主要 就 是 因为 这 些 病毒 利用 了 未 
打 补 丁 的 计算 机 系统 中 的 远程 代码 执行 漏洞 ,发 动 对 联网 计算 机 的 自动 攻击 。 对 于 存在 
此 类 漏洞 的 计算 机 和 设备 ,只 要 连接 在 互联 网 上 ,就 是 危险 的 ,因为 攻击 者 的 攻击 完全 不 
需要 使 用 者 的 配合 ,不 需要 使 用 者 有 任何 不 当 的 联网 操作 ,如 打开 不 明文 件 ,浏览 恶意 网 
址 等 。 

3. 拒绝 服务 漏洞 

拒绝 服务 漏洞 ,是 指 可 以 导致 目标 应 用 或 系统 暂时 或 永远 性 失去 响应 正常 服务 的 能 
力 ,影响 系统 的 可 用 性 。 这 种 漏洞 的 主要 作用 是 使 程序 系统 崩溃 ,无 法 正常 工作 。 拒 绝 服 
务 漏洞 又 可 细 分 为 远程 拒绝 服务 漏洞 和 本 地 拒绝 服务 漏洞 。 前 者 大 多 被 攻击 者 用 于 向 服 
务 器 发 动 攻 击 ,后 者 则 大 多 被 用 于 计算 机 病毒 对 本 地 系统 和 程序 的 攻击 。 
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1.3.2 漏洞 的 普遍 性 


1. 通用 型 漏洞 

由 于 现今 绝 大 多 数 的 软件 、 网 站 或 信息 系统 开发 都 不 是 从 零 起 步 ,而 是 使 用 某 些 现成 
的 开发 平台 或 开源 代码 开发 出 来 的 ,因此 ,使 用 同一 系统 平台 或 同一 开源 代码 开发 出 的 软 
件 、 网 站 或 信息 系统 就 往往 有 可 能 存在 同样 的 或 相似 的 安全 漏洞 。 这 种 普遍 存在 的 相同 
或 相似 的 漏洞 就 是 通用 型 漏洞 。 

2. 事件 型 漏洞 
事件 型 漏洞 主要 是 指 软件 .网 站 或 信息 系统 中 的 某 一 个 具体 的 、 独 特 的 漏洞 ,这 个 漏 
洞 的 出 现 有 很 大 的 偶然 性 ,只 与 相关 软件 、 网 站 或 信息 系统 自身 的 开发 过 程 、 运 维 过 程 有 
关 , 在 其 他 地 方 不 会 复 现 。 例 如 ,常见 的 弱 密 码 问题 .业务 逻辑 漏洞 ,系统 设置 不 当 等 ,一 
般 都 属于 事件 型 漏洞 。 

从 历史 经 验 看 ,90% 以 上 的 软件 、 网 站 或 信息 系统 都 存在 事件 型 安全 漏洞 。 当 系统 开 
发 平台 被 曝 出 存在 安全 漏洞 时 ,几乎 所 有 使 用 该 平台 开发 出 的 软件 、 网 站 或 信息 系统 都 会 
同时 存在 安全 漏洞 。 


3. 0day 漏 洞 

0day 漏洞 也 称 为 零 日 漏洞 , 它 是 指 已 经 有 人 知道 ,但 厂商 尚未 修复 的 安全 漏洞 。 攻 
击 者 利用 0day 漏洞 发 动 攻击 ,理论 上 来 说 几乎 是 不 可 能 防御 的 。 但 由 于 0day 漏洞 的 发 
现 非常 困难 ,一 旦 被 安全 机 构 掌 握 ,0day 漏洞 也 就 立即 失效 了 。 所 以 ,网 络 攻击 者 如 果 持 
有 0day 漏洞 ,一 般 不 会 使 用 到 普通 人 身上 ,而 是 会 用 来 攻击 高 价值 的 目标 。 此 外 ,如 果 是 
厂商 已 经 提供 了 补丁 ,但 由 于 各 种 原因 ,相关 软件 、 系 统 或 设备 还 没有 打上 这 些 补丁 的 漏 
洞 ,因而 可 以 被 有 效 地 攻击 和 利用 ,这 种 漏洞 称 为 Nday 漏洞 。 


1.4 ”常见 的 漏洞 类 型 


1.4.1 操作 系统 漏洞 


操作 系统 漏洞 是 指 操作 系统 或 操作 系统 自 带 应 用 软件 在 逻辑 设计 上 出 现 的 缺陷 或 纺 
写 时 产生 的 错误 ,这 些 缺 陷 或 错误 可 以 被 不 法 者 利用 ,通过 网 络 植 入 木马 病毒 等 方式 攻 
击 或 控制 整个 计算 机 ,窃取 计算 机 中 的 重要 资料 和 信息 ,甚至 破坏 计算 机 系统 。 


1. Windows 系统 漏洞 
Windows 操作 系统 是 迄今 为 止 使 用 最 广泛 的 个 人 计算 机 操作 系统 ,从 最 早 的 DOS 
系统 发 展 到 Windows 7、Windows 8 和 Windows 10 系统 ,其 系统 的 安全 性 逐渐 提高 ,但 
是 却 避 免不了 漏洞 的 存在 。 因 此 ,用 户 需要 认识 这 些 漏洞 ,并 掌握 修复 漏洞 的 常用 方法 。 
由 于 Windows 操作 系统 在 桌面 操作 系统 的 垄断 地 位 ,大 量 的 攻击 者 开始 研究 该 系统 
的 漏洞 。Windows 操作 系统 与 Linux 等 开放 源码 的 操作 系统 不 一 样 ,普通 用 户 无 法 获取 
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操作 系统 的 源 代 码 , 因 此 安全 问题 均 由 Microsoft 自身 解决 。 


2. 其 他 操作 系统 漏洞 

除了 微软 公司 的 Windows 操作 系统 外 ,其 余 几 种 常见 的 操作 系统 如 Linux、UNIX、 
Mac OS 等 ,其 他 不 同 版 本 也 或 多 或 少 存在 某 些 安全 漏洞 。 

例如 ，Linux 操作 系统 的 核心 部 位 曾 出 现 一 个 安全 漏洞 ,该 漏洞 能 使 那些 只 许可 登 
录 某 机 器 的 局 部 用 户 获 得 “ 根 目录 ”访问 权 , 并 对 该 机 器 进行 完全 控制 。 这 些 局 部 缺陷 造 
成 的 不 良 后 果 比 远程 缺陷 要 轻 , 远 程 缺 陷 能 让 网 络 攻击 者 接管 某 机 器 。 

惠普 高 端 UNIX 操作 系统 也 曾 发 现 一 些 安全 漏洞 ,这 些 安全 漏洞 可 能 使 攻击 者 控制 
服务 器 或 者 使 服务 器 离线 。 惠普 在 发 现 其 Tru64 UNIX 操作 系统 在 执行 IPSec( 互 联网 
协议 安全 ) 和 SSH( 安 全 外 围 程序 ) 时 会 出 现 可 被 攻击 者 利用 的 安全 漏洞 ,这 两 个 严重 的 
安全 漏洞 都 出 现在 这 种 操作 系统 的 关键 组 件 中 ,并 且 都 能 让 恶意 用 户 控制 服务 器 或 者 发 
动 拒绝 服务 攻击 。SSH 用 于 向 服务 器 安全 地 发 送 指令 ,IPSec 用 于 创建 虚拟 机 专用 网 ,以 
便 通 过 网 络 在 计算 机 之 间 传 递 加 密 的 信息 。 


1.4.2 ”数据 库 漏洞 


大 数据 时 代 的 来 临 ,各 个 行业 数据 量 迅猛 增长 ,数据 库 跟随 业务 逐渐 从 后 台 走 向 前 
台 、 从 内 网 走向 外 网 、 从 实体 走向 虚拟 ( 云 );。 数 据 库 被 广泛 使 用 在 各 种 新 的 场景 中 ,但 它 
的 发 展 给 了 黑客 更 多 的 人 侵 机 会 。 常 见 的 数据 库 漏洞 主要 有 数据 库 特 权 提 升 、 数 据 库 敏 
感 数据 未 加 密 和 数据 库 的 错误 配置 。 


1. 数据 库 特 权 提 升 

来 自 内 部 人 员 的 攻击 可 能 导致 恶意 用 户 占有 超过 其 应 该 具有 的 系统 权限 ,而 外 部 的 
攻击 者 也 可 以 通过 破坏 操作 系统 而 获得 更 高 级 别 的 特权 。 特 权 提 升 通常 与 错误 的 配置 有 
关 : 一 个 用 户 被 错误 地 授 子 了 超过 其 实际 需要 用 来 完成 工作 的 、 对 数据 库 及 其 相关 应 用 
程序 的 访问 特权 。 

另外 ,即使 没有 数据 库 的 相关 凭证 ,一 个 内 部 攻击 者 ,或 者 一 个 已 经 控制 了 受害 者 机 
器 的 外 部 攻击 者 ,也 可 以 轻松 地 从 一 个 应 用 程序 跳 转 到 数据 库 。 


2. 数据 库 敏感 数据 未 加 密 

如 果 备 份 磁带 在 运输 或 存储 过 程 中 丢失 ,而 这 些 磁带 上 的 数据 又 没有 加 密 , 一 旦 落 入 
黑客 之 手 ,黑客 根本 不 需要 接触 网 络 就 可 以 实施 破坏 。 这 类 攻击 更 可 能 发 生 在 将 介质 销 
售 给 攻击 者 的 内 部 人 员 身 上 ,黑客 只 要 安装 好 磁带 ,就 能 获得 数据 库 。 即 使 备份 了 许多 数 
据 , 但 如 果 玻 于 跟踪 和 记录 ,磁带 很 容易 遭受 攻击 。 因 此 ,保存 敏感 数据 的 磁带 加 密 需要 
引起 人 们 的 足够 重视 。 


3. 数据 库 的 错误 配置 
实际 环境 中 ,很 多 数据 库 出 现 问题 是 由 老 旧 未 补 的 漏洞 或 默认 账户 配置 参数 引起 的 。 
也 可 能 是 管理 员 下 忽 ,或 者 因为 业务 关键 系统 实在 承受 不 住 停机 检查 数据 库 的 损失 。 
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1.4.3 网 络 设备 漏洞 


网 络 设备 的 安全 对 于 网 络 空间 安全 至 关 重 要 。 路 由 器 、 防 火 墙 、. 交 换 机 等 网 络 设备 是 
整个 互联 网 世界 的 联系 纽带 ,占据 着 非常 重要 的 地 位 ,是 计算 机 网 络 的 一 个 结 点 。 目 前 ， 
各 个 国家 和 地 区 对 PC 和 移动 端的 安全 都 非常 重视 ,但 是 由 于 网 络 设 备 隐 藏 后 端 不 可 见 
的 特点 ,导致 人 们 对 其 安全 性 的 认识 不 足 , 从 而 出 现 各 种 漏洞 利用 和 攻击 行为 ,攻击 者 一 
旦 控制 网 络 设备 ,其 连接 的 各 种 终端 设备 都 将 暴露 在 攻击 者 的 面前 ,导致 重要 数据 和 资料 
泄漏 ,造成 严重 的 网 络 安全 事件 。 

造成 最 近 几 年 网 络 设备 漏洞 数量 迅速 增加 的 原因 有 三 个 : 一 是 网 络 规模 越 来 越 大 ， 
网 络 设备 数量 和 种 类 也 越 来 越 多 ,相应 的 网 络 设备 漏洞 数量 也 越 来 越 多 ;二 是 网 络 设备 普 
及 程度 越 来 越 高 ,可 接触 到 设备 的 人 越 来 越 多 ,对 网 络 设备 进行 安全 研究 的 人 也 越 来 越 
多 ;三 是 越 来 越 多 的 厂商 开始 重视 设备 安全 ,开始 主动 或 被 动 地 披露 网 络 设备 漏洞 。 

网 络 设备 的 漏洞 多 为 网 络 协议 的 漏洞 ,而 网 络 协议 的 漏洞 多 为 内 存 破坏 的 漏洞 ,内 存 
破坏 的 漏洞 大 都 归 类 于 拒绝 服务 。 例 如 ,思科 iOS 是 一 个 体积 很 大 的 二 进 制 程序 ,直接 
运行 在 主 CPU 上 ,如 果 发 生 异 常 ,内 存 破坏 ,或 是 CPU 被 持续 占用 ,都 会 导致 设备 重启 。 
此 外 ,思科 ASA 在 嵌入 式 Linux 系统 上 运行 着 lina_monitor 和 lina, 当 lina 出 现 异常 的 
时 候 ,lina_monitor 负责 重启 设备 。 不 过 , 正 因为 网 络 设备 的 漏洞 主要 出 现在 协议 上 , 当 
出 现 漏洞 的 位 置 是 协议 的 “ 边 角 ” 部 位 或 是 一 些 较 新 的 协议 时 ,发 现 漏洞 的 难度 较 大 。 


1.4.4 Web 漏洞 


Web 漏洞 即 Web 客户 端 漏洞 , 指 的 是 那些 不 仅 由 于 服务 器 端的 设计 或 者 迎 辑 错误 
而 产生 的 漏洞 ,也 包括 由 客户 端的 某 些 特性 (如 浏览 器 的 同 源 策略 、Cookie 机 制 ) 所 产生 
的 漏洞 。 常 见 的 Web 漏洞 有 5 种 : SQL 注入 漏洞 .XSS 跨 站 脚本 攻击 、 目 录 凯 历 .CSRF 
跨 站 请 求 伪 造 攻击 和 界面 操作 支持 。 其 中 ,XSS 跨 站 脚本 攻击 有 着 举足轻重 的 地 位 ,不 
仅 漏洞 数量 远 远 超过 其 他 几 种 ,危害 性 也 比 其 他 漏洞 严重 。 


1. SQL 注入 漏洞 

SQL 注入 攻击 (SQL injection) 是 Web 开发 中 常见 的 一 种 安全 漏洞 。 由 于 程序 员 的 
编码 能 力 不 一 样 , 很 多 程序 员 在 开发 程序 的 时 候 存在 漏洞 ,这 就 给 攻击 者 提供 了 便利 的 条 
件 。 系 统 对 用 户 输入 的 参数 不 进行 检查 和 过 滤 ,不 对 用 户 输入 的 数据 的 合法 性 进行 判断 ， 
或 者 对 程序 本 身 的 变量 处 理 不 当 , 都 可 能 使 得 数据 库 受到 攻击 ,导致 数据 被 窃取 .更改 、 删 
除 , 以 及 进一步 导致 网 站 被 伐 入 恶意 代码 、 被 植 人 后 门 程序 等 危害 。 

SQL 注入 可 能 导致 数据 丢失 或 数据 破坏 ,在 未 经 授权 的 情况 下 操作 数据 库 中 的 数 
据 , 如 管理 员 口 令 、 用 户口 令 等 信息 ;恶意 自 改 数据 库 内 容 , 导 入 虚假 错误 信息 ,私自 添加 
系统 账号 ,使 得 没有 授权 的 用 户 拥 有 授权 的 权限 。 

2. XSS 跨 站 脚本 攻击 

XSS 跨 站 脚本 攻击 是 Web 客户 端 漏洞 中 最 为 广泛 的 漏洞 。 只 要 有 用 户 输入 的 地 方 ， 
都 可 能 存在 XSS ,执行 脚本 可 以 是 JavaScript、VBScript、ActionScript, 之 所 以 可 以 引发 攻 
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击 , 是 由 于 浏览 器 将 用 户 的 输入 当成 代码 执行 了 。 跨 站 这 个 词 其 实 并 不 贴切 ,因为 浏览 器 
的 同 源 策略 ,一 个 XSS 脚本 是 无 法 跨 站 读 取 、 自 改 其 他 域 上 的 资源 的 ,但 这 也 只 能 是 减轻 
它 的 危害 。XSS 分 为 三 类 : 反射 型 XSS、 存 储 型 XSS 和 DOM 型 XSS。 

最 常见 的 XSS 是 由 于 未 对 用 户 输入 做 验证 而 产生 的 。 其 中 ,反射 型 XSS 是 由 于 
URL 中 的 参数 被 攻击 者 自 改 ,传人 服务 器 的 数据 未 经 过 转 码 或 者 过 滤 ,直接 被 浏览 器 解 
析 成 JavaScript 代码 执行 。 存 储 型 XSS 则 是 用 户 将 恶意 代码 直接 保存 到 网 站 的 服务 器 
端 , 输 入 未 做 过 滤 , 当 其 他 用 户 浏览 到 此 数据 时 ,输出 也 未 做 过 滤 ,此 时 其 他 用 户 便 会 受到 
攻击 。 


3. 目录 遍历 

目录 遍历 (路 径 遍历 ) 是 由 于 Web 服务 器 或 者 Web 应 用 程序 对 用 户 输入 的 文件 名 称 
的 安全 性 验证 不 足 而 导致 的 一 种 安全 漏洞 ,其 使 得 攻击 者 能 够 通过 利用 一 些 特殊 字符 就 
可 以 绕 过 服务 器 的 安全 限制 ,完成 目录 跳 转 ,访问 任意 文件 (可 以 是 Web 根 目录 以 外 的 文 
件 ) ,包括 读 取 操 作 系 统 各 个 目录 下 的 敏感 文件 ,甚至 执行 系统 命令 ,因此 目录 遍历 漏洞 也 
被 称 作 “ 任 意 文件 读 取 漏洞 ”。 

目录 遍历 漏洞 出 现 的 原因 在 于 : 程序 在 实现 上 没有 充分 过 滤 用 户 输 入 的 “../” 之 类 的 
目录 跳 转 符 ,导致 恶意 用 户 可 以 通过 提交 目录 跳 转 遍历 服务 器 上 的 任意 文件 。 


4. CSRF 跨 站 请 求 伪 造 攻击 

CSRF 跨 站 请 求 伪造 攻击 的 攻击 效果 就 是 伪造 请 求 。CSRF 的 大 体 思 路 是 在 B 站 点 
上 伪造 一 个 指向 A 站 点 的 URL 链接 ,这 个 链接 向 A 站 发 送 一 个 GET 请 求 ,从 而 利用 用 
户 身 份 达 到 伪造 的 目的 。 

跨 站 请 求 伪 造 往往 是 由 于 服务 端 未 判断 用 户 发 来 的 HTTP 请 求 的 REFERER 头 ， 
因此 导致 攻击 者 可 以 伪造 一 个 包含 有 请 求 参数 的 URL。 当 受害 者 点 击 时 ,相当 于 向 服务 
器 发 送 了 一 个 GET 请求, 服务器 只 验证 Cookie 后 便 响 应 了 这 个 伪造 的 请 求 ,如 修改 资料 
或 提交 订单 等 。 

5. 界面 操作 动 持 

界面 操作 支持 是 一 种 视觉 性 欺骗 用 户 的 手段 。 界 面 操作 动 持 的 基本 操作 是 ,在 网 页 
上 覆盖 一 个 透明 的 iframe 框 ,然后 诱 使 用 户 在 该 页 面 上 进行 操作 ,此 时 用 户 将 在 不 知情 
的 情况 下 单 击 透明 的 iframe 页面 。 从 操作 手段 来 讲 , 可 以 分 为 三 类 : 点 击 劫持 、 拖 放 劫 持 
和 触 屏 动 持 。 界 面 操作 动 持 的 目的 虽然 和 CSRF 一 样 ,都 是 骗取 用 户 的 合法 操作 ,但 界面 
操作 支持 需要 运用 iframe 标签 ,并 且 需 要 利用 浏览 器 本 身 的 部 分 跨 域 特性 ,这 使 得 防御 
策略 (添加 token 值 ) 能 够 有 效 地 应 对 该 漏洞 。 因 此 ,界面 操作 劫持 的 漏洞 数量 是 客户 端 
漏洞 中 最 少 的 一 种 ,其 需要 的 欺骗 手段 多 ,但 欺骗 成 功率 低 于 XSS 和 CSRF。 


1.4.5” 弱 口令 


弱 口 令 (weak password) 没 有 严格 和 准确 的 定义 ,通常 由 常用 的 数字 .字母 等 组 合成 。 
容易 被 别人 通过 简单 及 平常 的 思维 方式 猜测 到 的 或 被 破解 工具 破解 的 口令 均 为 弱 口 令 。 
常见 的 弱 口 令 有 以 下 4 种 。 
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(1) 空 口令 或 系统 默认 的 口令 。 

(2) 口令 长 度 小 于 8 个 字符 (如 admin、123456) 。 

(3) 口令 为 连续 的 某 个 字符 (如 aaaaaa) 或 重复 某 些 字符 的 组 合 ( 如 abcabc) 。 

(4) 口令 中 包含 本 人 、 父 母 .子女 和 配偶 的 姓名 和 出 生日 期 .纪念 日 期 .登录 名 、 
E-mail 地 址 .手机 号 码 等 与 本 人 有 关 的 信息 。 

产生 弱 口 令 的 原因 应 该 与 个 人 习惯 与 意识 相关 ,为 了 避免 忘记 密码 ,可 使 用 一 个 非常 
容易 记 住 的 密码 ,或 是 直接 采用 系统 的 默认 密码 等 。 再 者 ,也 是 因为 用 户 信息 安全 意识 不 
够 ,未 能 意识 到 口令 安全 的 重要 性 。 


1.5 漏洞 的 发 展现 状 和 趋势 


1.5.1 漏洞 安全 事件 


回顾 2017 的 信息 安全 事件 ,主要 与 系统 漏洞 、Web 安全 、 弱 口令 、 信 息 泄 漏 和 移动 端 
操作 系统 安全 相关 ,具体 如 下 。 

。 2017 年 5 月 12 日 起 ,全 球 范围 内 爆发 基于 Windows 网 络 共享 协议 进行 攻击 传播 
的 蠕虫 恶意 代码 ,这 是 不 法 分 子 通过 改造 之 前 泄漏 的 NSA 黑客 武器 库 中 “永恒 之 
蓝 ” 攻 击 程序 发 起 的 网 络 攻击 事件 。5 个 小 时 内 ,包括 英国 、 俄 罗斯 等 欧洲 多 国 以 
及 中 国 国 内 多 所 高 校 校内 网 、 大 型 企业 内 网 和 政府 机 构 专 网 中 招 ,被 勒索 支付 高 
额 赎金 后 才能 解密 恢复 文件 ,对 重要 数据 造成 严重 损失 。“ 永 恒 之 蓝 ” 的 攻击 方式 
是 恶意 代码 会 扫描 开放 445 文件 共享 端口 的 Windows 机 器 ,无 须 用 户 任何 操作 ， 
只 要 开机 上 网 ,不 法 分 子 就 能 在 计算 机 和 服务 器 中 植 和 人 勒索 软件 .远程 控制 木马 、 
虚拟 货币 挖 矿 机 等 恶意 程序 。 
Apache 的 Struts2 漏洞 问题 。 自 从 2013 年 第 一 个 Struts2 漏洞 被 曝光 之 后 ,2017 年 
9 月 6 日 至 7 日 ,Apache 连续 发 布 St2-052 和 St2-053 远程 代码 命令 执行 漏洞 。 
Apache Struts2 作为 世界 上 最 流行 的 Java Web 服务 器 框架 之 一 ,2017 年 3 月 7 
日 带 来 了 本 年 度 第 一 个 高 危 漏洞 一 一 CVE 编号 CVE-2017-5638。 其 原因 是 
Apache Struts2 的 Jakarta Multipart parser 插件 存在 远程 代码 执行 漏洞 ,攻击 者 
可 以 在 使 用 该 插件 上 传 文件 时 ,修改 HTTP 请 求 头 中 的 Content-Type 值 触发 该 
漏洞 ,导致 远程 执行 代码 。Apache Struts2 服务 在 开启 动态 方法 调用 的 情况 下 可 
以 远程 执行 任意 命令 ,官方 编号 S2-032(CVE 2016 3081)。 黑 客 利用 该 漏洞 ,可 
对 企业 服务 器 实施 远程 操作 ,从 而 导致 数据 泄漏 、 远 程 主机 被 控 \ 内 网 渗透 等 重大 
安全 威胁 。 
WebLogic 是 美国 Oracle 公司 出 品 的 一 个 application server; 确 切 地 说 是 一 个 基 
于 Java EE 架构 的 中 间 件 ,WebLogic 是 用 于 开发 、 集 成. 部署 和 管理 大 型 分 布 式 
Web 应 用 、 网 络 应 用 和 数据 库 应 用 的 Java 应 用 服务 器 。 将 Java 的 动态 功能 和 
Java Enterprise 标准 的 安全 性 引入 大 型 网 络 应 用 的 开发 .集成 .部 署 和 管理 中 。 
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自 2015 年 起 ,WebLogic 被 曝 出 多 个 反 序 列 化 漏洞 ,Oracle 官方 相继 发 布 了 一 系 
列 反 序列 化 漏洞 补丁 。 但 是 ,近期 WebLogic 又 被 曝 出 之 前 的 反 序 列 化 漏洞 补丁 
存在 绕 过 安全 风险 ,用 户 更 新 补丁 后 ,仍然 存在 被 绕 过 并 成 功 执行 远程 命令 攻击 
的 情况 。 攻 击 者 可 以 利用 WebLogic 的 反 序 列 化 漏洞 ,通过 构造 恶意 请 求 报 文 远 
程 执行 命令 ,危害 较 大 。 

。5 月 份 ,新 型 蠕虫” 式 勒索 病毒 WannaCry( 中 文 直译 为 “ 想 冉 ”爆发 ,席卷 全 球 。 
这 场 全 球 最 大 的 网 络 攻击 已 经 造成 至 少 150 个 国家 和 20 万 台 机 器 受到 感染 。 受 
害 者 包括 中 国 、 英 国 、 俄 罗斯 、 德 国 和 西班牙 等 国 的 医院 大学、 制造 商 和 政府 机 
构 。 计 算 机 被 勒索 软件 感染 后 ,其 中 文件 会 被 加 密 锁 住 。 目 前 只 有 两 种 解决 方 
案 : 第 一 种 方案 是 向 黑客 支付 他 们 所 要 求 的 赎金 5 个 比特 币 ( 价 值 约 为 人 民 币 5 
万 元 ) 后 ,才能 解密 恢复 ;第 二 种 方案 .如果 不 想 支付 赎金 , 则 只 能 舍弃 计算 机 中 的 
文件 。 

。 滴 血 漏洞 (Heartbleed 漏洞 ), 这 项 严重 缺陷 (CVE 2014 0160) 的 产生 是 由 于 在 
memcpy() 调 用 受害 用 户 输入 内 容 作 为 长 度 参 数 之 前 ,未 能 正确 进行 边界 检查 。 
攻击 者 可 以 追踪 OpenSSL 所 分 配 的 64KB 缓存 ,将 超出 必要 范围 的 字 节 信息 复 
制 到 缓存 中 再 返回 缓存 内 容 , 这 样 ,受害 者 的 内 存 内 容 就 会 以 每 次 64KB 的 速度 
进行 泄漏 。 通 过 读 取 网 络 服务 器 内 存 ,攻击 者 可 以 访问 敏感 数据 ,从 而 危及 服务 
器 及 用 户 的 安全 。 敏 感 的 安全 数据 ,如 服务 器 的 专用 主 密 钥 , 可 使 攻击 者 在 服务 
器 和 客户 端 未 使 用 完全 正 向 保密 时 ,通过 被 动 中 间 人 攻击 解密 当前 的 或 已 存储 的 
传输 数据 ,或 在 通信 方 使 用 完全 正 向 保密 的 情况 下 ,发 动 主动 中 间 人 攻击 。 攻 击 
者 无 法 控制 服务 器 返回 的 数据 ,因为 服务 器 会 啊 应 随机 的 内 存 块 。 漏 洞 还 可 能 暴 
露 其 他 用 户 的 敏感 请 求 和 响应 ,包括 用 户 任 何 形式 的 POST 请 求 数据 、 会 话 
Cookie 和 密码 ,这 能 使 攻击 者 可 以 劫持 其 他 用 户 的 服务 身份 。 漏 洞 让 特定 版 本 的 
OpenSSL 成 为 无 须 钥 是 即 可 开启 的 “* 废 锁 *, 入 侵 者 每 次 可 以 翻 检 户主 的 64KB 信 
息 , 只 要 有 足够 的 耐心 和 时 间 ,就 可 以 翻 检 足够 多 的 数据 ,拼凑 出 户主 的 银行 密 
码 、 私 信 等 敏感 数据 。 对 此 ,安全 专家 提醒 网 友 , 在 网 站 完成 修复 升级 后 , 仍 需 及 
时 修改 原来 的 密码 。 


1.5.2 ”漏洞 的 发 展现 状 


漏洞 伴随 着 计算 机 和 信息 系统 而 出 现 ,所 有 的 计算 机 和 信息 系统 都 存在 漏洞 ,威胁 着 
计算 机 系统 的 安全 。 近 年 来 , 随 着 计算 机 系统 的 发 展 ,漏洞 也 变 得 越 来 越 复杂 。 下 面 将 从 
2016 年 漏洞 的 增长 情况 、 漏 洞 厂商 分 布 、 主 流 操 作 系 统 漏洞 漏洞 类 型 分 布 . 漏 洞 危 害 等 
级 分 布 这 5 个 方面 介绍 漏洞 的 发 展现 状 。 


1. 漏洞 的 增长 情况 
2017 年 含有 漏洞 的 网 站 个 数 为 69. 1 万 个 , 比 2016 年 减少 了 22. 6 万 个 ,但 高 危 漏洞 
的 网 站 个 数 增加 了 20. 5 万 个 。 图 1-1 为 2014 一 2017 年 网 站 存在 漏洞 情况 对 比 ,可 以 看 
出 ,漏洞 已 经 成 为 威胁 网 络 空间 安全 的 重要 因素 ,加 大 漏洞 预警 .漏洞 消 控 的 投入 力度 已 
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2014 一 2017 年 网 站 存在 漏洞 情况 对 比 (扫描 检测 ) 


旦 含有 漏洞 的 网 站 个 数 目 高 危 漏洞 的 网 站 个 数 单位 : 万 个 
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2014 年 2015 年 2016 年 2017 年 
(截至 11 月 30 昌 ) ( 喜 至 11 月 18 昌 ) ( 吉 至 1 月 15 日) ( 囊 至 10 月 份 ) 


图 1-1 2014 一 2017 年 网 站 存在 漏洞 情况 对 比 


2. 漏洞 厂商 分 布 

2016 年 各 大 厂商 新 增 安 全 漏洞 统计 表 见 表 1-1。 漏 洞 数量 排名 前 十 的 厂商 一 共 新 增 
漏洞 5605 个 , 占 比 达 67. 24% ,超过 2016 年 新 增 漏洞 总 数 的 一 半 。 漏 洞 数 量 最 多 的 3 家 
公司 分 别 为 Microsoft、Google 和 Apple, 新 增 漏洞 数量 均 在 800 个 以 上 。 其 中 ,Microsoft 
公司 产品 的 漏洞 数量 最 多 , 达 1050 个 , 占 2016 年 新 增 漏洞 总 数 的 12. 60% ,而 2015 年 漏 
洞 数量 最 多 的 Apple 公司 ,2016 年 新 增 漏洞 数量 817 个 ,排名 第 三 。 


表 1-1 2016 年 各 大 厂商 新 增 安全 漏洞 统计 表 


序 号 操作 系统 名 称 漏洞 数量 所 占 比 例 
1 Microsoft 1050 12.60% 
2 Google 944 11.32% 
3 Apple 817 9.80% 
4 Oracle 793 9.51% 
5 Adobe 548 6.57% 
6 Linux 460 5.52% 
7 IBM 364 4.37% 
8 Cisco 353 4.23% 
9 Mozilla 139 1.67% 
10 Huawei 137 1.64% 

合 计 5605 67.24% 
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3. 主流 操作 系统 漏洞 
2016 年 ,Windows 系列 .Mac OS 系列 .Android、Linux、Windows Server 和 iOS 系列 
主流 操作 系统 漏洞 数量 占 操 作 系 统 漏洞 总 数 的 70% 以 上 。 其 中 ,Windows 系列 漏洞 数量 
最 多 ,为 568 个 ;Android 操作 系统 漏洞 增 速 最 快 ,与 2015 年 相 比 ,新 增 漏洞 数量 增幅 超 
过 500% 。2016 年 主流 操作 系统 漏洞 数量 统计 见 表 1-2。 


表 1-2 2016 年 主流 操作 系统 漏洞 数量 统计 


序 号 操作 系统 名 称 漏洞 数量 序号 操作 系统 名 称 漏洞 数量 
1 Windows 系列 568 4 Linux 246 
2 Mac OS 系列 555 5 ”| Windows Server 系列 175 
§ Android 512 6 |ios 162 


4. 漏洞 类 型 分 布 


2016 年 漏洞 类 型 分 布依 旧 相 对 集中 ,统计 的 19 个 漏洞 类 型 中 ,排名 前 五 的 漏洞 类 型 
一 共 新 增 4271 个 漏洞 , 占 2016 年 新 增 漏洞 总 数 的 51. 24%。 新 增 漏洞 数量 最 多 的 漏洞 
类 型 依然 为 缓冲 区 错误 漏洞 ,所 占 比 例 为 15. 37%, 比 2015 年 的 14.03% 高 出 1. 34 个 百 
分 点 。2016 年 漏洞 类 型 统计 表 见 表 1-3。 
表 1-3 2016 年 漏洞 类 型 统计 表 


序号 漏洞 类 型 漏洞 数量 a 序号 漏洞 类 型 漏洞 数量 
1 | 缓冲 区 错误 1281 |15.37%| 11 | 代码 注入 81 0.97% 
2 | 信息 泄漏 897 |10.76% 12 | 加 密 问题 76 0.91% 
3 | 权限 许可 和 访问 控制 881 “|10.57%| 13 | 授权 问题 52 0.62% 
4 | 跨 站 脚本 620 7.44%|‖ 14 | 竞争 条 件 48 0.58% 
5 | 输入 验证 592 7.10%|‖ 15 | 信任 管理 40 0.48% 
6 | 资源 管理 错误 200 2.40%|‖ 16 | 操作 系统 命令 注入 32 0.38% 
7 | SQL 注 人 142 1.70%%|‖ 17 | 后 置 链接 6 0.07% 
8 | 跨 站 请 求 伪 造 129 1.55%| 18 | 配置 错误 3 0.04% 
9 | 数字 错误 120 1.44%%‖ 19 | 命令 注入 1 0.01% 
10 | 路 径 遍 历 102 1.22%| 20 | 其 他 3033 36. 39% 
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5. 漏洞 危害 等 级 分 布 
根据 漏洞 的 影响 范围 ,利用 方式 .攻击 后 果 等 情况 ,可 将 其 分 为 3 个 危险 等 级 , 即 高 
危 、 中 危 和 低 危 级 别 。 如 图 1-2 所 示 ,2017 年 高 危 和 中 危 漏洞 所 占 比 例 呈 现 上 升 趋势 ,其 
中 危害 等 级 在 中 危 以 上 的 漏洞 数量 占 漏洞 总 量 的 67. 8%。 


答 ] 音 


me 第] 章 漏洞 的 基本 知识 mm 


2014 一 2017 年 网 站 漏洞 危险 等 级 分 布 对 比 


47.3% 


33.8% 32 696 33.6% 本 本 32.2% 
22.7% 
四 加 


2014 年 2015 年 2016 年 2017 年 


图 1-2 2014 一 2017 年 网 站 漏洞 危险 等 级 分 布 对 比 


1.5.3 漏洞 的 发 展 趋势 


近 几 年 ,信息 系统 的 漏洞 分 析 与 修补 技术 发 展 较 快 ,如 微软 公司 在 IE 上 新 增 了 许多 
安全 机 制 (延迟 释放 、 隔 离 堆 、 控 制 流 防护 等 ) ,大 大 提升 了 IE 浏览 器 的 安全 性 。 外 部 曝光 
的 各 大 APT 攻击 事件 也 将 持续 存在 ,用 的 不 一 定 是 0day, 也 可 能 是 对 一 些 旧 漏洞 的 综合 
利用 ,再 加 上 社工 及 其 他 高 级 渗透 技术 ,从 而 进行 长 期 潜伏 ,以 收集 目标 信息 。 漏 洞 出 现 
地 越 来 越 多 ,其 被 利用 攻击 的 方式 也 多 种 多 样 ,让 人 防不胜防 。 下 面 介绍 未 来 信息 系统 漏 
洞 可 能 会 面临 的 新 挑战 。 


1. 开源 软件 漏洞 频 发 

开源 软件 指 源码 向 公众 免费 开放 的 软件 ,其 他 人 员 在 遵循 一 定 许可 协议 的 情况 下 ,可 
以 对 开源 软件 的 源 代码 进行 使 用 、 修 改 和 重新 发 布 。 开 源 软 件 类 型 十 分 丰富 ,几乎 所 有 的 
商业 软件 都 有 与 之 对 应 的 开源 软件 ,如 操作 系统 、 数 据 库 、 办 公 软 件 、Web 浏览 器 、 中 间 件 
等 。 近 年 来 ,OpenSSL 和 Linux 系统 频繁 公布 的 漏洞 让 开发 者 们 重新 开始 审视 开源 平台 
自身 的 安全 性 。 由 于 这 些 软 件 大 量 应 用 于 世界 各 地 、 各 行 各 业 的 网 站 与 信息 系统 中 ,因此 
其 漏洞 给 全 球 网 站 和 信息 系统 带 来 了 严重 的 安全 威胁 。 


2. 银行 系统 安全 威胁 严峻 

银行 业 是 较 早 开展 网 络 化 和 信息 化 的 行业 ,同时 由 于 其 常 涉及 大 额 或 巨额 的 资金 交 
易 ,一 直 以 来 都 是 攻击 者 和 不 法 分 子 山 钢 和 攻击 的 对 象 。 虽 然 银 行 系统 对 其 自身 安全 已 
经 非常 重视 ,但 是 ,由 于 新 的 攻击 方式 和 漏洞 不 断 出 现 , 银 行 系统 仍然 面临 严重 安全 威胁 。 
2016 年 ,全 球 发 生 了 多 起 银行 系统 .ATM 机 遭 到 黑客 攻击 的 安全 事件 ,在 国际 上 产生 了 
严重 影响 ,个 别 事件 甚至 造成 大 规模 用 户 个 人 隐私 泄漏 、 个 人 和 银行 资金 被 窃 等 严重 
后 果 。 
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3. 物 联 网 安全 问题 日 益 凸 显 

物 联网 是 新 一 代 信息 技术 的 重要 组 成 部 分 ,也 是 “信息 化 ”时 代 的 重要 发 展 阶段 。 物 
联网 设备 无 处 不 在 ,应 用 场景 非常 广泛 ,涉及 汽车 .医疗 ,物流 运输 智能 家 庭 ,娱乐 等 多 个 
领域 。 近 年 来 , 物 联网 设备 数量 持续 增长 ,这 些 设备 给 人 们 的 生活 带 来 便利 的 同时 ,也 给 
黑客 和 不 法 分 子 提供 了 新 的 攻击 方向 ,暴露 出 的 安全 问题 越 来 越 多 ,关注 度 也 与 日 俱 增 。 
物 联网 设备 比 传统 设备 更 具 智 能 性 、 互 联 性 ,但 同时 也 带 来 更 多 安全 隐患 。 以 内 置 密码 为 
例 , 暴 露 在 互联 网 上 的 物 联网 设备 很 多 都 未 对 内 置 初始 密码 进行 修改 ,一 旦 成 千 上 万 的 这 
种 设备 被 操控 ,攻击 者 就 很 有 可 能 有 针对 性 地 发 动 分 布 式 拒绝 服务 (Distributed Denial of 
Service,DDoS) 攻 击 。 传 统 的 安全 问题 换个 场景 就 成 为 一 个 新 的 安全 问题 ,而 这 个 问题 的 
解决 需要 整个 行业 ,监管 机 构 和 新 闻 媒 体 等 的 相互 协作 。 


4. 电子 邮件 成 为 安全 链 中 最 弱 的 一 环 

近年 来 ,各 类 电子 邮件 安全 事件 层出不穷 ,无 论 对 个 人 ,还 是 对 企业 ,都 造成 重大 损 
失 。 电 子 邮 件 系 统 已 成 为 安全 链 中 最 弱 的 一 环 。 为 减少 电子 邮件 的 安全 问题 ,电子 邮件 
用 户 应 加 强 安全 意识 ,对 重要 内 容 进 行 全 程 加 密 , 对 接收 的 邮件 内 容 仔 细 鉴 别 , 不 要 单 击 
不 明 邮 件 的 附件 。 企 业 在 选择 邮件 服务 产品 时 ,应当 更 加 注重 安全 性 问题 ,选择 安全 可 靠 
的 邮件 服务 系统 。 


1.6 漏洞 外 延 应 用 


1.6.1 安全 服务 


安全 服务 主要 是 指 通过 安全 检测 .安全 评估 和 安全 加 固 等 手段 对 企业 的 信息 系统 进 
行 全 方位 的 安全 防护 。 安 全 检测 主要 利用 大 量 安全 性 行业 经 验 和 漏洞 扫描 的 先进 技术 等 
对 信息 系统 进行 安全 检测 ,接着 根据 检测 得 到 的 信息 对 整个 信息 系统 进行 全 面 的 安全 评 
佑 ,最 后 以 安全 评估 的 结果 为 依据 ,对 信息 系统 中 存在 的 安全 隐患 进行 确定 性 有 序 性 的 
加 固 , 如 修复 安全 漏洞 等 。 可 见 ,漏洞 扫描 及 防护 贯穿 了 整个 安全 服务 的 过 程 ,是 对 系统 
进行 安全 防护 的 重要 举措 。 


1.6.2 ” 补 天 漏洞 响应 平台 


补 天 漏洞 响应 平台 是 360 公司 推出 的 专门 征集 开源 建站 程序 漏洞 ,用 以 帮助 软件 公 
司 和 开发 者 及 时 推出 补丁 ,加 强 网 站 对 黑客 攻击 “ 拖 库 ” 的 防范 能 力 的 漏洞 响应 平台 。 通 
过 补 天 平台 ,大 多 数 建 站 程序 都 能 快速 修复 漏洞 ,并 及 时 推出 补丁 保护 网 站 用 户 的 数据 安 
全 。 补 天 漏洞 响应 平台 采用 “奖励 机 制 “ 保 密 机 制 " 和 “合作 机 制 * 结 合 的 方式 ,兼顾 企业 
和 白 帽子 的 利益 的 同时 ,促进 安全 服务 行业 的 发 展 。 
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思 考题 
.请 概述 漏洞 的 定义 。 
.漏洞 的 成 因 是 什么 ? 
.请 简 述 漏洞 的 特征 。 
.请 从 多 角度 简 述 漏洞 的 危害 。 


.常见 的 漏洞 类 型 有 哪些 ?它们 分 别 有 什 么 特点 ? 


第 2 瘟 
”安全 漏洞 扫描 系统 


本 章 将 详细 介绍 漏洞 扫描 的 相关 知识 。 通 过 本 章 的 学 习 , 达 到 理解 漏洞 扫描 的 定义 
及 原理 漏洞 扫描 中 使 用 的 关键 技术 ,漏洞 扫描 的 策略 和 流程 ,以 及 安全 基线 的 相关 知识 
的 目标 。 同 时 ,本 章 的 相关 内 容 将 为 后 续 各 个 章节 的 学 习 打下 基础 。 


2.1 漏洞 扫描 概述 


2.1.1 漏洞 扫描 的 定义 


漏洞 扫描 是 一 种 安全 检测 行为 ,通过 扫描 等 手段 对 指定 的 远程 或 本 地 计算 机 系统 和 
网 络 设备 的 安全 脆弱 性 进行 检测 ,从 而 发 现 安全 隐患 和 可 被 利用 的 漏洞 。 通 俗 地 说 ,漏洞 
扫描 就 是 对 系统 进行 诊断 检测 ,看 当前 系统 主机 是 否 存在 漏洞 ,如 果 有 漏洞 ,就 通知 管理 
员 及 时 进行 修复 。 

漏洞 扫描 工作 在 系统 被 攻击 之 前 ,是 防御 黑客 攻击 的 重要 且 有 效 的 手段 。 经 过 对 计 
算 机 系统 和 网 络 设备 的 全 面 扫描 ,安全 管理 员 能 及 时 获取 开放 的 端口 信息 、 运 行 的 服务 信 
息 及 系统 的 配置 信息 等 ,及 时 发 现 潜在 的 脆弱 性 和 安全 隐患 ,根据 扫描 报告 更 正 系统 中 的 
错误 设置 ,有 效 地 在 不 法 者 利用 漏洞 攻击 前 就 进行 防范 。 由 此 可 见 ,漏洞 扫描 方便 用 户 进 
行 主 动 防范 , 它 能 有 效 避 免 利 用 漏洞 带 来 的 攻击 ,做 到 防 患 于 未 然 。 

漏洞 扫描 不 只 是 安全 检测 的 有 效 方式 ,更 是 攻击 者 进行 系统 入 侵 的 重要 手段 。 攻 击 
者 会 通过 漏洞 扫描 不 断 发 现 系统 漏洞 ,从 而 利用 漏洞 侵占 系统 资源 。 事 实 上 ,在 漏洞 的 发 
现 史上 ,最初 的 漏洞 是 被 攻击 者 发 现 的 。 


2.1.2 漏洞 扫描 的 原理 


漏洞 扫描 主要 是 基于 特征 匹配 原理 ,将 待 测 设备 和 系统 的 反应 与 漏洞 库 进 行 比较 , 若 
满足 匹配 条 件 , 则 认为 存在 安全 漏洞 。 漏 洞 扫描 的 基本 原理 如 图 2-1 所 示 。 

进行 漏洞 扫描 时 ,首先 探测 目标 系统 的 存活 主机 ,对 存活 主机 进行 端口 扫描 ,确定 系 
统 开放 的 端口 ,同时 根据 协议 指纹 技术 识别 出 主机 的 操作 系统 类 型 ;接着 ,根据 目标 操作 
系统 类 型 .系统 运行 的 平台 和 提供 的 网 络 服务 , 按 漏洞 库 中 已 知 的 各 种 漏洞 类 型 发 送 对 应 
的 探测 数据 包 ,对 它们 进行 逐一 检测 ;之 后 ,通过 对 探测 响应 数据 包 的 分 析 ,判断 是 否 存在 
漏洞 。 若 探测 和 响应 的 数据 包 符 合 对 应 漏洞 的 特征 , 则 表示 目标 存在 该 漏洞 。 所 以 ,在 漏 
洞 扫描 中 ,漏洞 库 的 定义 精确 与 否 直接 影响 到 最 后 的 扫描 结果 以 及 漏洞 扫描 的 性 能 。 


漏洞 数据 库 漏洞 扫描 器 


2 


1 
中 读 取 漏 洞 信 息 1 
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1 
外 特征 匹配 分 析 ! 
1 
1 


人 @ 返 


四 


1 
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全 


图 2-1 漏洞 扫描 的 基本 原理 


2.1.3 漏洞 扫描 器 


女 
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漏洞 扫描 器 指 按照 漏洞 扫描 原理 设计 的 ,能 够 自动 检测 本 地 或 远程 的 设备 和 系统 安 
全 脆弱 性 ( 即 漏洞 ) 的 程序 ,其 主要 有 如 下 两 个 功能 。 

(1) 漏洞 扫描 器 可 以 获得 所 维护 主机 的 各 种 端口 的 分 配 、 提 供 的 服务 .服务 软件 版 本 
以 及 这 些 服务 和 软件 呈现 在 网 络 上 的 安全 漏洞 。 由 于 它 在 实际 的 网 络 环境 下 通过 网 络 对 
系统 管理 员 所 维护 的 主机 进行 外 部 特征 扫描 ,所 以 被 称 为 漏洞 扫描 器 的 外 部 扫描 。 

(2) 漏洞 扫描 器 还 能 从 主机 系统 内 部 检测 系统 配置 的 缺陷 ,模拟 系统 管理 员 进行 系 
统 内 部 审核 的 全 过 程 ,发 现 能 够 被 黑客 利用 的 种 种 错误 配置 , 称 为 漏洞 扫描 器 的 内 部 扫 
描 , 因 为 它 是 以 系统 管理 员 的 身份 对 所 维护 的 服务 器 进行 


内 部 特征 扫描 的 。 


术 上 的 最 大 区 别 , 攻 击 者 在 扫描 目标 主机 阶段 ( 即 入 侵 准 备 


阶段 ) 无 法 进行 目标 主机 系统 内 部 检测 。 


漏洞 扫描 器 主要 有 以 下 3 个 应 用 场景 ,如 图 2-2 所 示 。 


1. 业务 上 线 前 的 安全 扫描 


个 NN 


实际 上 ,能 够 从 主机 系统 内 部 检测 系统 配置 的 缺陷 ,是 安全 预警 
系统 管理 员 的 漏洞 扫描 器 与 攻击 者 拥有 的 漏洞 扫描 器 在 技 


安全 扫描 


\. 


图 2-2 漏洞 扫描 器 应 用 场景 


随 着 企业 的 发 展 和 壮大 ,公司 内 部 的 业务 线 也 会 随 之 
变 多 ,单纯 依靠 人 工 检测 漏洞 不 具备 可 行 性 ,因此 需要 引入 安全 漏洞 扫描 器 , 它 能 够 在 业 
务 上 线 发 布 前 对 其 进行 自动 化 扫描 和 检测 ,从 而 使 得 烦琐 的 安全 检测 工作 通过 扫描 器 自 
动 完成 。 这 样 不 仅 可 以 减少 人 工 的 工作 量 , 同 时 还 可 以 极 大 地 缩减 检测 时 间 ,保障 业务 顺 


利 及 时 地 发 布 和 上 线 。 
2. 业务 运行 中 的 安全 监控 


安全 其 实 是 一 个 动态 过 程 ,因此 对 业务 持续 地 安全 监控 也 是 必 不 可 少 的 。 企 业 可 以 
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通过 漏洞 扫描 器 对 业务 中 的 日 志 或 流量 进行 动态 实时 的 扫描 、 分 析 及 监控 ,还 可 以 与 企业 
内 部 的 防火 墙 或 Web 应 用 防火 墙 (WAF) 进 行 协同 联动 ,从 而 达到 事 中 的 安全 阻 断 ,保障 
业务 安全 运行 。 

3. 业务 运行 中 的 安全 预警 

互联 网 中 的 许多 开源 组 件 经 常会 被 研究 员 爆 出 0day 漏洞 ,这 时 ,企业 就 可 以 通过 扫 
描 器 对 所 有 暴露 在 公 网 上 的 资产 进行 组 件 的 探测 识别 和 漏洞 验证 ,这 样 就 可 以 快速 定位 
到 风险 资产 和 目标 ,并 能 够 对 该 漏洞 进行 修复 和 升级 ,从 而 有 效 地 降低 0day 漏洞 给 企业 
带 来 的 安全 风险 。 


到 2 漏洞 扫描 的 关键 技术 


1. 端口 扫描 

在 计算 机 中 ,一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 通 过 对 目标 
计算 机 进行 端口 扫描 ,可 以 得 到 许多 有 用 的 信息 。 端 口 扫描 就 是 逐个 对 一 段 端口 或 指定 
的 端口 进行 扫描 。 通 过 扫描 结果 可 以 知道 一 台 计 算 机 上 都 提供 了 哪些 服务 ,然后 就 可 以 
通过 所 提供 的 这 些 服务 的 已 知 漏洞 进行 攻击 。 端 口 扫 描 的 工作 方式 如 图 2-3 所 示 。 


状态 记录 端口 号 
图 2-3 端口 扫描 的 工作 方式 


端口 扫描 的 原理 : 当 一 个 主机 向 远 端 一 个 服务 器 的 某 一 个 端口 提出 建立 一 个 连接 的 
请 求 时 , 若 远 端 服务 器 有 此 项 服务 ,就 会 应 答 : 若 远 端 服务 器 未 安装 此 项 服务 ,即使 向 其 相 
应 的 端口 发 出 请 求 ,也 不 会 有 应 答 。 利 用 这 个 原理 ,如 果 对 所 有 熟知 端口 或 选 定 的 某 个 范 
围 内 的 熟知 端口 分 别 建立 连接 ,并 记录 下 远 端 服务 器 所 给 予 的 应 答 ,通过 查看 记录 就 可 以 
知道 目标 服务 器 上 都 安装 了 哪些 服务 。 通 过 端口 扫描 ,就 可 以 搜集 到 很 多 关于 目标 主机 
的 具有 参考 价值 的 信息 。 例 如 ,目标 计算 机 是 否 提 供 FTP 服务 ,WWW 服务 或 其 他 
服务 。 
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端口 扫描 一 般 有 手工 扫描 和 软件 扫描 两 种 方式 。 进 行 手工 扫描 时 ,需要 熟悉 各 种 命 
令 , 然 后 对 命令 执行 后 的 输出 结果 进行 分 析 和 判断 。 用 扫描 软件 进行 端口 扫描 时 ,许多 扫 
描 器 软件 都 有 分 析 数 据 的 功能 ,可 以 大 大 提高 扫描 效率 。 通 过 端口 扫描 ,安全 信息 员 可 以 
得 到 许多 有 用 的 信息 ,从 而 发 现 系统 的 安全 漏洞 。 


2. 智能 爬虫 
智能 怜 虫 就 是 将 定向 或 者 非 定 向 的 网 页 抓 取 下 来 ,并 进行 分 析 后 得 到 格式 化 数据 的 
技术 , 它 是 垂直 搜索 的 核心 技术 。 智 能 网 络 怜 虫 的 工作 方式 如 图 2-4 所 示 。 


CY 
回 


NS © 
载 网 页 库 ss 
一 
让 © 

: “TH 
已 抓 取 URL 队 列 待 抓 取 URL 队 殉 种 子 URL 


图 2-4 智能 网 络 怜 虫 的 工作 方式 


智能 息 虫 系统 第 一 步 , 从 互联 网 页 面 中 精心 选择 一 部 分 网 页 ,以 这 些 网 页 的 链接 地 址 
作为 种 子 URL, 将 这 些 种 子 放 入 待 抓 取 的 URL 队列 中 ;第 二 步 ,从 待 抓 取 的 URL 队列 
依次 读 取 URL ;第 三 步 , 将 读 取 的 URL 通过 DNS 进行 解析 ,把 链接 地 址 转换 为 网 站 服务 
器 对 应 的 IP 地 址 ;第 四 步 ,将 IP 地 址 和 网 页 相对 路 径 名 称 交 给 网 页 下 载 器 ;第 五 步 ,网 页 
下 载 器 负责 页 面 的 下 载 ; 第 六 步 , 对 于 下 载 到 本 地 的 网 页 ,一 方面 将 其 存储 到 页 面 库 中 ,等 
待 建立 索引 等 后 续 处 理 , 另 一 方面 将 下 载 网 页 的 URL 放 和 已 抓 取 队列 中 ,这 个 队列 记录 
了 扑 虫 系统 已 经 下 载 过 的 网 页 URL, 以 避免 系统 的 重复 抓 取 ;第 七 步 ,对 于 刚 下 载 的 网 
页 ,从 中 抽取 出 包含 的 所 有 链接 信息 ;第 八 步 ,将 抽取 的 链接 信息 在 已 下 载 的 URL 队列 
中 进行 检查 ;第 九 步 , 如 果 发 现 链接 还 没有 被 抓 取 过 , 则 放 到 待 抓 取 URL 队列 的 末尾 ,在 
之 后 的 抓 取 调度 中 会 下 载 这 个 URL 对 应 的 网 页 。 如 此 这 般 , 形 成 循环 ,直到 待 抓 取 URL 
队列 为 空 ,这 代表 着 疏 虫 系统 将 能 够 抓 取 的 网 页 全 部 抓 取 完成 ,此 时 完成 了 一 轮 完整 的 抓 
取 过 程 。 

息 虫 技术 主要 用 于 Web 漏洞 扫描 ,通过 怜 虫 控 掘 相关 Web 数据 ,使 用 相关 的 Web 
漏洞 库 信息 ,然后 利用 白 盒 技术 对 网 页 进行 漏洞 测试 ,查看 网 页 反馈 的 相关 信息 ,判断 是 
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否 存在 漏洞 。 


3. 白 盒 测试 

白 盒 测 试 又 称 结构 测试 .透明 盒 测 试 .逻辑 驱动 测试 或 基于 代码 的 测试 。 白 盒 测 试 是 
一 种 测试 用 例 设计 方法 ,盒子 指 的 是 被 测试 的 软件 , 白 盒 指 的 是 盒子 是 可 视 的 ,测试 人 员 
清楚 盒子 内 部 的 东西 以 及 里 面 是 如 何 运作 的 .“ 白 盒 " 法 是 一 种 穷 举 路 径 测试 , 需 全 面 了 
解 程序 内 部 逮 辑 结构 ,对 所 有 逻辑 路 径 进行 测试 。 而 且 白 盒 测 试 并 不 是 简单 地 按照 代码 
设计 用 例 ,而 是 需要 根据 不 同 的 测试 需求 ,结合 不 同 的 测试 对 象 ,使 用 适合 的 方法 进行 
测试 。 

白 盒 测 试 方法 必须 遵循 以 下 4 条 原则 。 

@ 保证 一 个 模块 中 的 所 有 独立 路 径 至 少 被 测试 一 次 。 

@ 所 有 逻辑 值 均 需 要 测试 真 和 假 两 种 情况 。 

@ 检查 程序 的 内 部 数据 结构 ,保证 其 结构 的 有 效 性 。 

@ 在 上 .下 边界 及 可 操作 范围 内 运行 所 有 循环 。 


4. 破解 字典 

破解 字典 是 指 包 括 了 许多 人 们 习惯 设置 的 密码 的 字典 ,其 主要 配合 密码 破译 软件 使 
用 , 相 比 于 暴力 破解 ,密码 字典 可 以 大 大 提高 密码 破译 软件 的 密码 破译 成 功率 和 命中 率 ， 
缩短 密码 破译 的 时 间 。 相 反 , 如 果 一 个 人 对 密码 的 设置 没有 规律 或 很 复杂 ,未 包含 在 密码 
字典 里 ,那么 该 密码 被 破解 的 可 能 性 就 会 非常 低 。 

因此 ,通过 破解 字典 可 以 发 现 系统 中 的 弱 密码 ,提醒 信息 安全 员 将 其 更 换 为 复杂 的 密 
码 ,以 此 提高 系统 的 安全 性 。 


23 漏洞 扫描 的 策略 及 流程 


2.3.1 漏洞 扫描 的 策略 
漏洞 扫描 策略 一 般 分 为 基于 网 络 的 扫描 和 基于 主机 的 扫描 。 


1. 基于 网 络 的 扫描 

网 络 扫描 是 基于 Internet 的 ,探测 远 端 网 络 或 主机 信息 的 一 种 技术 ,是 保障 系统 和 网 
络 安全 必 不 可 少 的 一 种 手段 。 一 般 来 说 ,基于 网 络 的 漏洞 扫描 工具 可 以 看 作为 一 种 漏洞 
信息 收集 工具 , 它 根 据 不 同 漏洞 的 特性 ,构造 网 络 数 据 包 ,发 给 网 络 中 的 一 个 或 多 个 目标 
服务 器 ,以 判断 某 个 特定 的 漏洞 是 否 存 在 。 

基于 网 络 的 漏洞 扫描 器 先 检测 目标 系统 中 到 底 开放 了 哪些 端口 ,并 通过 特定 系统 中 
提供 的 相关 端口 信息 ,增强 了 漏洞 扫描 器 的 功能 。 

基于 网 络 的 漏洞 扫描 器 的 结构 如 图 2-5 所 示 . 它 主要 由 5 个 方面 组 成 。 

1) 漏洞 数据 库 模 块 

漏洞 数据 库 包 含 了 各 种 操作 系统 的 各 种 漏洞 信息 ,以 及 如 何 检测 漏洞 的 指令 。 由 于 
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图 2-5 基于 网 络 的 漏洞 扫描 器 的 结构 


新 的 漏洞 会 不 断 出 现 , 所 以 该 数据 库 需 要 经 常 更 新 ,以 便 能 够 检测 到 新 发 现 的 漏洞 。 

2) 用 户 配 置 控制 台 模块 

用 户 配 置 控制 台 与 安全 管理 员 进行 交互 ,用 来 设置 要 扫描 的 目标 系统 ,以 及 扫描 哪些 
漏洞 。 

3) 扫描 引擎 模块 

扫描 引擎 是 扫描 器 的 主要 部 件 。 根 据 用 户 配置 控制 台 部 分 的 相关 设置 ,扫描 引擎 组 
装 好 相应 的 数据 包 ,发 送 到 目标 系统 。 此 外 ,将 接收 到 的 目标 系统 的 应 答 数据 包 与 漏洞 数 
据 库 中 的 漏洞 特征 进行 比较 ,判断 选择 的 漏洞 是 否 存在 。 

4) 当前 活动 的 扫描 知识 库 模块 

该 模块 通过 查看 内 存 中 的 配置 信息 ,监控 当前 活动 的 扫描 。 此 外 ,将 要 扫描 的 漏洞 的 
相关 信息 提供 给 扫描 引擎 ,同时 还 接收 扫描 引擎 返回 的 扫描 结果 。 

5) 扫描 结果 存储 和 报告 生成 工具 

扫描 结果 存储 和 报告 生成 工具 利用 当前 活动 扫描 知识 库 中 存储 的 扫描 结果 ,生成 扫 
描 报 告 。 扫 描 报告 将 告诉 用 户 配置 控制 台 设 置 了 哪些 选项 ,根据 这 些 设置 ,扫描 结束 后 ， 
在 哪些 目标 系统 上 发 现 了 哪些 漏洞 。 

基于 网 络 的 漏洞 扫描 器 有 很 多 优点 。 

中 基于 网 络 的 漏洞 扫描 器 的 价格 相对 来 说 比较 便宜 。 

G@ 基于 网 络 的 漏洞 扫描 器 在 操作 过 程 中 ,不 需要 涉及 目标 系统 的 管理 员 。 

@ 基于 网 络 的 漏洞 扫描 器 在 检测 过 程 中 ,不 需要 在 目标 系统 上 安装 任何 应 用 。 

@ 基于 网 络 的 漏洞 扫描 器 维护 简便 。 当 企业 的 网 络 发 生变 化 时 ,只 要 某 个 结 点 能 够 
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扫描 网 络 中 的 全 部 目标 系统 ,基于 网 络 的 漏洞 扫描 器 就 不 需要 进行 调整 。 

基于 网 络 的 漏洞 扫描 器 存在 以 下 不 足 之 处 。 

@ 基于 网 络 的 漏洞 扫描 器 不 能 直接 访问 目标 系统 的 文件 系统 ,与 之 相关 的 一 些 漏 洞 
不 能 检测 到 ,例如 ,一些 用 户 程序 的 数据 库 , 连 接 的 时 候 , 要 求 提供 操作 系统 的 密码 ,这 种 
情况 下 ,基于 网 络 的 漏洞 扫描 器 无 法 对 其 进行 弱 口 令 检测 。 

@ UNIX 系统 中 有 些 程序 带 有 SetUID 和 SetGID 功能 ,这 种 情况 下 ,涉及 UNIX 系 
统 文 件 的 权限 许可 问题 ,基于 网 络 的 漏洞 扫描 器 无 法 进行 检测 。 

@@ 基于 网 络 的 漏洞 扫描 器 不 能 穿 过 防火 墙 ,与 端口 扫描 器 相关 的 端口 , 若 防火 墙 没 
有 开放 ,端口 扫描 将 终止 。 

外 控制 台 与 扫描 服务 器 之 间 的 通信 数据 包 是 加 过 密 的 ,但 是 扫描 服务 器 与 目标 主机 
之 间 的 通信 数据 包 是 没有 加 密 的 ,因此 ,攻击 者 就 可 以 利用 Sniffer 工具 监听 网 络 中 的 数 
据 包 ,进而 得 到 各 目标 主机 中 的 漏洞 信息 。 


2. 基于 主机 的 扫描 

主机 扫描 指 对 计算 机 主机 或 者 其 他 网 络 设备 进行 安全 性 检测 ,以 找 出 安全 隐患 和 系 
统 漏洞 。 基 于 主机 的 漏洞 扫描 器 ,扫描 目标 系统 漏洞 的 原理 与 基于 网 络 的 漏洞 扫描 器 的 
原理 类 似 , 但 是 ,两 者 的 体系 结构 不 一 样 。 基 于 主机 的 漏洞 扫描 器 通常 在 目标 系统 上 安装 
了 一 个 代理 或 者 是 服务 ,以 便 能 够 访问 所 有 的 文件 与 进程 ,以 此 扫描 主机 中 的 漏洞 。 

现在 流行 的 基于 主机 的 漏洞 扫描 器 在 每 个 目标 系统 上 都 有 一 个 代理 ,以 便 向 中 央 服 
务 器 反馈 信息 ,中 央 服 务 器 通过 远程 控制 台 进行 管理 。 主 机 漏洞 扫描 主要 通过 以 下 两 种 
方法 检查 目标 主机 是 否 存在 漏洞 。 

(1) 在 端口 扫描 后 得 知 目标 主机 开启 的 端口 以 及 端口 上 的 网 络 服务 ,将 这 些 相关 信 
息 与 网 络 漏洞 扫描 系统 提供 的 漏洞 库 进行 匹配 ,查看 是 否 有 满足 匹配 条 件 的 漏洞 存在 。 

(2) 通过 模拟 攻击 者 的 攻击 手法 ,对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测 
试 弱 口令 等 , 若 模拟 攻击 成 功 , 则 表明 目标 主机 系统 存在 安全 漏洞 。 

基于 主机 的 漏洞 扫描 器 通常 是 一 个 基于 主机 的 客户 机 /服务 器 三 层 体系 结构 的 漏洞 
扫描 工具 。 这 三 层 分 别 为 漏洞 扫描 器 控制 台 、 漏 洞 扫 描 管 理 器 和 漏洞 扫描 代理 。 主 机 漏 
洞 扫 描 器 结构 图 如 图 2-6 所 示 。 

漏洞 扫描 器 控制 台 安 装 在 一 台 计算 机 中 。 漏 洞 扫描 器 管理 器 安装 在 企业 网 络 中 ,所 
有 的 目标 系统 都 需要 安装 漏洞 扫描 器 代理 。 其 中 ,漏洞 扫描 器 代理 安装 完 后 ,需要 向 漏洞 
扫描 器 管理 器 注册 。 

当 漏洞 扫描 器 代理 收 到 漏洞 扫描 器 管理 器 发 来 的 扫描 指令 时 ,漏洞 扫描 器 代理 单独 
完成 本 目标 系统 的 漏洞 扫描 任务 :扫描 结束 后 ,漏洞 扫描 器 代理 将 结果 传 给 漏洞 扫描 器 管 
理 器 ;最 终 ,用 户 可 以 通过 漏洞 扫描 器 控制 台 浏览 扫描 报告 。 

基于 主机 的 漏洞 扫描 器 的 优点 如 下 。 

@ 扫描 的 漏洞 数量 多 。 由 于 在 目标 系统 上 安装 了 代理 或 者 是 服务 ,它们 能 够 访问 所 
有 的 文件 与 进程 ,这 也 使 得 基于 主机 的 漏洞 扫描 器 能 够 扫描 更 多 的 漏洞 。 

@ 集中 化 管理 。 基 于 主机 的 漏洞 扫描 器 通常 都 有 集中 的 服务 器 作为 扫描 服务 器 。 
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图 2-6 主机 漏洞 扫描 器 结构 图 


所 有 扫描 的 指令 均 从 服务 器 进行 控制 ,这 一 点 与 基于 网 络 的 扫描 器 类 似 。 服 务 器 下 载 最 
新 的 代理 程序 后 ,会 分 发 给 各 个 代理 进行 执行 。 这 种 集中 化 管理 模式 使 得 基于 主机 的 漏 
洞 扫描 器 能 够 快速 实现 部 署 。 

加 网 络 流量 负载 小 。 由 于 漏洞 扫描 器 的 管理 器 与 代理 之 间 只 有 通信 的 数据 包 ,漏洞 
扫描 的 任务 都 由 漏洞 扫描 器 代理 单独 完成 ,这 样 大 大 减少 了 网 络 流量 负载 。 当 扫描 结束 
后 ,漏洞 扫描 器 代理 再 次 与 漏洞 扫描 器 管理 器 进行 通信 ,将 扫描 结果 传送 给 管理 器 。 

@ 所 有 通信 过 程 中 的 数据 包 都 经 过 了 加 密 。 由 于 漏洞 扫描 都 在 本 地 完成 ,漏洞 扫描 
器 代理 和 管理 器 之 间 在 扫描 之 前 和 扫描 结束 之 后 建立 必要 的 通信 链 路 即 可 。 

基于 主机 的 漏洞 扫描 器 存在 以 下 不 足 之 处 。 

@ 基于 主机 的 漏洞 扫描 工具 的 价格 通常 由 一 个 管理 器 的 许可 证 价格 加 上 目标 系统 
的 数量 决定 , 当 一 个 企业 网 络 中 的 目标 主机 较 多 时 ,扫描 工具 的 价格 非常 高 。 通 常 ,只 有 
实力 强大 的 公司 和 政府 部 门 才 有 能 力 购买 这 种 漏洞 扫描 工具 。 

@ 基于 主机 的 漏洞 扫描 工具 ,需要 在 目标 主机 上 安装 一 个 代理 或 服务 ,而 从 管理 员 
的 角度 来 说 ,并 不 希望 在 重要 的 机 器 上 安装 自己 不 确定 的 软件 。 

@ 随 着 所 要 扫描 的 网 络 范围 的 扩大 ,在 部 署 基于 主机 的 漏洞 扫描 器 的 代理 软件 的 时 
候 ,需要 与 每 个 目标 系统 的 用 户 打交道 ,必然 延长 了 首次 部 署 的 工作 周期 。 


2.3.2 漏洞 扫描 的 流程 


漏洞 扫描 流程 及 常用 技术 如 图 2-7 所 示 。 漏 洞 扫描 主要 分 为 3 个 阶段 ,分 别 为 目标 
发 现 、 信 息 摆 取 和 漏洞 检测 。 
下 面 对 每 个 阶段 进行 详细 说 明 。 


1. 目标 发 现 
目标 发 现 是 指 通过 某 种 方式 发 现 目标 主机 或 网 络 , 所 以 该 阶段 也 被 称 为 主机 扫描 。 
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目标 发 现 漏洞 检测 


。ICMP 扫 射 。 端口 扫描 。 检 测 技术 
。 广播 ICMP 。 服务 识别 。 识 别 策 略 
。TCP 扫 射 
。 UDP 扫射 


图 2-7 漏洞 扫描 流程 及 常用 技术 


在 该 阶段 中 ,通过 发 送 不 同类 型 的 控制 报 文 协议 (Internet Control Message Protocol， 
ICMP) 或 者 传输 控制 协议 (Transmission Control Protocol,TCP) .用 户 数据 报 协议 (User 
Datagram Protocol,UDP) 请 求 ,实现 从 多 种 不 同 的 方面 检测 目标 主机 是 否 存活 ,其 使 用 
的 技术 包括 ICMP 扫射 广播 ICMP、TCP 扫射 .UDP 扫射 。 

1) ICMP 扫射 

作为 IP 的 一 个 组 成 部 分 ,ICMP 用 来 传递 差错 报 文 和 其 他 需要 注意 的 信息 ,ping 命 
令 就 是 其 最 常见 的 使 用 方式 。 通 常 接收 到 ICMP 回 显 请 求 的 主机 ,都 会 向 请 求 者 发 送 
ICMP 回 显 应 答 的 报 文 。 如 果 发 送 者 接收 到 来 自 目标 主机 的 ICMP 回 显 应 答 , 就 能 知道 
目标 主机 目前 处 于 活动 状态 ,否则 可 以 初步 判断 主机 不 可 达 或 发 送 的 包 被 对 方 的 设备 过 
滤 掉 。 

使 用 这 种 方法 对 多 个 主机 进行 轮 询 判断 其 是 否 在 线 的 方式 称 为 ICMP 扫描 ,该 方式 
非常 简单 ,但 并 不 十 分 可 靠 , 因 为 目标 主机 可 以 主动 阻止 对 回 显 请 求 做 出 应 答 。 

2) 广播 ICMP 

与 ICMP 相似 ,广播 ICMP 也 利用 了 ICMP 回 显 请 求 和 ICMP 回 显 应 答 这 两 种 报 文 。 
不 同 的 是 ,广播 ICMP 只 需要 向 目标 网 络 的 网 络 地 址 和 广播 地 址 发 送 一 两 个 回 显 请 求 ,就 
能 够 收 到 目标 网 络 中 所 有 存活 主机 的 ICMP 回 显 应 答 。 

广播 ICMP 这 种 扫描 方式 的 速度 比 ICMP 扫射 快 ,但 是 容易 引起 广播 风暴 ,如 果 有 很 
多 机 器 回应 ,甚至 会 导致 网 络 出 现 拒绝 服务 现象 。 

3) TCP 扫射 

传输 控制 协议 (TCP) 为 应 用 层 提供 一 种 面向 连接 的 、 可 靠 的 字 节 流 服务 。 它 使 用 “三 
次 握手 ”的 方式 建立 连接 。TCP 建立 连接 成 功 /失败 的 过 程 如 图 2-8 所 示 。 


1.SYN 1.SYN 
客 服 客 服 
户 2.SYNACK | 务 户 2. RST/ACK 务 
端 器 端 器 
3. ACK 3.RST 
连接 建立 成 功 连接 建立 失败 


图 2-8 ”TCP 建立 连接 成 功 / 失 败 的 过 程 
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从 建立 连接 的 过 程 可 以 知道 ,如 果 向 目标 发 送 一 个 SYN 数据 包 , 则 无 论 收 到 一 个 
SYN/ACK 数据 包 , 或 者 一 个 RST 数据 包 , 都 表明 目标 处 于 存活 状态 ,这 就 是 TCP 扫描 
的 基本 原理 。 与 此 类 似 , 也 可 以 向 目标 发 送 一 个 ACK 数据 包 , 如 果 目 标 存活 , 则 会 收 到 
一 个 RST 数据 包 。 

TCP 扫射 就 是 同时 向 多 个 目标 进行 TCP 扫描 ,这 种 方式 比 利 用 ICMP 进行 探测 更 
加 有 效 。 但 TCP 扫射 也 不 是 百分之百 可 靠 , 因 为 有 的 防火 墙 能 够 伪造 RST 数据 包 , 从 而 
造成 防火 墙 后 的 某 个 主机 存活 的 假象 。 

4) UDP 扫射 

用 户 数据 报 协议 (UDP) 是 一 个 面向 数据 报 的 传输 层 协议 ,在 扫描 UDP 端口 的 时 候 ， 
主要 用 的 是 UDP ICMP 端口 不 可 达 的 扫描 方法 ,其 原理 如 图 2-9 所 示 。 


葵 卫 难 
普 了 了 啦 


ICMP 端 口 不 可 达 


UDP 扫描 端口 开放 UDP 扫描 端口 关闭 
图 2-9 UDP 扫描 原理 图 


进行 UDP 扫描 时 ,首先 向 目标 主机 的 UDP 端口 发 送 UDP 数据 包 , 目 标 主 机 在 接收 
到 这 个 UDP 数据 包 后 ,如果 在 这 个 端口 上 运行 有 服务 , 则 将 这 个 数据 包 递 交 给 服务 进程 
处 理 ; 如 果 没 有 服务 在 这 个 端口 上 运行 , 则 系统 会 向 源 主机 返回 ICMP 包 , 以 报告 端口 不 
可 达 。 

UDP 扫射 与 TCP 扫射 类 似 ,其 会 同时 向 多 个 目标 发 送 UDP 数据 包 , 进 行 目 标 在 线 
判断 。 另 外 ,对 不 能 接收 到 ICMP 返回 包 的 情况 ,可 以 通过 重复 发 送 UDP 包 大 大 提高 扫 
描 的 准确 性 。 但 是 ,UDP 扫射 的 方法 可 靠 性 很 低 , 因 为 路 由 器 和 防火 墙 都 有 可 能 丢弃 数 
据 报 , 同 时 ,使 用 UDP 扫射 进行 目标 发 现 的 时 间 也 较 长 。 


2. 信息 抽取 
信息 抽取 指 在 发 现 目标 后 ,进一步 获得 目标 主机 的 操作 系统 信息 和 开放 的 服务 信息 ， 
包括 操作 系统 类 型 .运行 的 服务 以 及 服务 软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ,还 可 以 进 
一 步 发 现 该 网 络 的 拓扑 结构 、 路 由 设备 以 及 各 主机 的 信息 。 信 息 抽取 阶段 主要 用 到 两 种 
技术 ,分 别 是 端口 扫描 和 服务 识别 。 
1) 端口 扫描 
端口 扫描 可 以 快速 取得 目标 主机 开放 的 端口 和 服务 信息 ,从 而 为 漏洞 检测 阶段 做 准 
备 。 端 口 扫描 通常 会 向 目标 主机 的 所 有 端口 (0 一 65535 ) 发 送 探测 信息 ,然后 分 析 返 回 的 
消息 ,从 而 获得 目标 主机 的 开放 端口 和 运行 服务 的 信息 。 端 口 扫描 不 需要 任何 特殊 权限 ， 
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系统 中 的 任何 用 户 都 可 以 使 用 这 个 功能 。 用 户 还 可 以 同时 打开 多 个 套 接 字 , 从 而 加 速 扫 
描 , 使 用 非 阻 塞 IO 还 允许 设置 一 个 低 的 时 间 用 尽 周期 (TTL) ,同时 观察 多 个 套 接 字 。 
但 是 ,端口 扫描 容易 被 过 滤 或 记录 。 另 外 ,对 于 安全 管理 员 而 言 ,使 用 该 方法 进行 扫描 的 

2) 服务 识别 

目前 ,服务 识别 主要 有 两 种 情况 : 其 一 ' 面 对 主动 提供 握手 信息 的 服务 ,可 以 使 用 
Netcat 尝试 与 目标 的 该 端口 建立 连接 ,根据 返回 的 信息 做 出 初步 判断 ;还 有 一 类 服务 需 
要 客户 端 首先 发 送 一 个 命令 ,然后 再 做 出 响应 。 要 判断 这 样 的 服务 ,必须 首先 猜测 服务 类 
型 ,然后 模仿 客户 端 发 送 命令 ,等待 服务 器 的 回应 。 


3. 漏洞 检测 

漏洞 检测 是 指 根据 搜集 到 的 信息 判断 是 否 存在 安全 漏洞 ,或 进一步 测试 系统 是 否 存 
在 可 被 攻击 者 利用 的 安全 漏洞 。 漏 洞 扫描 器 会 先 在 目标 主机 上 通过 漏洞 检测 技术 针对 不 
同 的 漏洞 类 型 进行 检测 ,收集 详细 和 全 面 的 信息 ,然后 通过 漏洞 识别 策略 判断 是 否 存在 对 
应 漏洞 。 

漏洞 检测 技术 主要 有 以 下 4 种 。 

(1) 基于 应 用 的 检测 技术 ,其 采用 被 动 的 , 非 破坏 性 的 办 法 检查 应 用 软件 包 的 设置 ， 
从 而 发 现 安全 漏洞 。 

(2) 基于 主机 的 检测 技术 ,其 采用 被 动 的 、 非 破坏 性 的 办 法 对 系统 进行 检测 。 通 常 ， 
该 技术 涉及 系统 的 内 核 .文件 的 属性 .操作 系统 的 补丁 等 。 这 种 技术 还 包括 口令 解密 、 弱 
口令 剔除 等 。 因 此 ,这 种 技术 可 以 非常 准确 地 定位 系统 的 问题 ,发现 系统 的 漏洞 。 它 的 缺 
点 是 与 平台 相关 ,升级 复杂 。 

(3) 基于 目标 的 检测 技术 ,其 采用 被 动 的 、 非 破坏 性 的 办 法 检查 系统 属性 和 文件 属 
性 ,如 数据 库 、 注 册 号 等 。 通 过 消息 文摘 算法 ,对 文件 的 加 密 数 进行 检验 。 这 种 技术 的 实 
现 是 运行 在 一 个 闭环 上 ,不 断 地 处 理 文件 、 系 统 目 标 、 系 统 目 标 属性 ,然后 产生 检验 数 , 把 
这 些 检验 数 同 原来 的 检验 数 比较 ,一 旦 发 现 改 变 , 就 通知 管理 员 。 

(4) 基于 网 络 的 检测 技术 ,其 采用 主动 的 \ 非 破坏 性 的 办 法 检验 系统 是 否 有 可 能 被 攻 
击 上 崩溃。 这 种 技术 利用 一 系列 脚本 模拟 对 系统 进行 攻击 的 行为 ,然后 对 结果 进行 分 析 , 同 
时 它 还 针对 已 知 的 网 络 漏洞 进行 检验 。 基 于 网 络 的 检测 技术 常 被 用 来 进行 穿 透 实验 和 安 
全 审计 。 使 用 这 种 技术 可 以 发 现 一 系列 平台 的 漏洞 ,也 容易 安装 。 但 是 ,这 种 技术 可 能 会 
影响 网 络 的 性 能 。 

漏洞 识别 策略 的 主要 方法 包括 直接 测试 .推断 和 带 凭 证 的 测试 。 

1) 直接 测试 

直接 测试 是 指 利用 漏洞 特点 ,通过 渗透 发 现 系统 漏洞 的 方法 。 直 接 测试 的 方法 具有 
以 下 6 个 特点 。 

。 通常 用 于 对 Web 服务 器 漏洞 .拒绝 服务 漏洞 的 检测 。 

。 能 够 准确 地 判断 系统 是 否 存在 特定 漏洞 。 

。 对 于 渗透 所 需 步骤 较 多 的 漏洞 速度 较 慢 。 
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。 攻击 性 较 强 ,可 能 对 存在 漏洞 的 系统 造成 破坏 。 

。 对 于 DOS 漏洞 ,测试 方法 会 造成 系统 崩溃 。 

。 不 是 所 有 漏洞 的 信息 都 能 通过 测试 方法 获得 。 

2) 推断 

推断 是 指 不 利用 系统 漏洞 而 判断 漏洞 是 否 存在 的 方法 。 它 并 不 直接 渗透 漏洞 ,只 是 
间接 地 寻找 漏洞 存在 的 证 据 。 采 用 推断 方法 的 检测 手段 主要 有 版 本 检查 ,程序 行为 分 析 、 
操作 系统 堆栈 指纹 分 析 和 时 序 分 析 。 版 本 检查 是 推断 方法 中 最 简单 的 一 个 应 用 。 

推断 可 用 于 推翻 某 个 风险 假设 ,也 可 用 来 分 析 目 标 程序 的 行为 ,如 果 发 现 该 程序 的 行 
为 和 具有 漏洞 的 版 本 的 程序 行为 不 一 致 ,就 认为 目标 程序 不 存在 漏洞 。 推 断 的 方法 在 快 
速 检查 大 量 目标 时 很 有 用 ,因为 这 种 方法 对 计算 机 和 网 络 的 要 求 都 很 低 。 它 比 渗透 测试 
方法 攻击 性 更 小 ,所 以 可 以 在 检查 很 多 DOS 漏洞 后 再 重新 启动 系统 。 

3) 带 赁 证 的 测试 

凭证 是 指 访问 服务 所 需要 的 用 户 名 或 者 密码 ,包括 UNIX 的 登录 权限 和 从 网 络 调用 
Windows NT 的 API 的 能 力 。 很 多 攻击 都 是 由 拥有 UNIX shell 访问 权限 或 者 Windows 
NT 资源 访问 权限 的 用 户 发 起 的 ,他 们 的 目标 在 于 将 自己 的 权限 提升 成 为 超级 用 户 , 从 而 
可 以 执行 某 个 命令 。 对 于 这 样 的 漏洞 ,前 两 种 方法 很 难 检查 出 来 。 因 此 ,如 果 赋 予 测试 进 
程 目标 系统 的 角色 ,将 能 够 检查 出 更 多 的 漏洞 。 


2 4 漏洞 扫描 系统 功能 


2.4.1 漏洞 扫描 系统 的 背景 


随 着 计算 机 技术 、 网 络 技术 的 飞速 发 展 及 其 应 用 的 普及 ,网 络 安全 日 渐 成 为 人 们 关注 
的 焦点 问题 之 一 。 近 年 来 ,安全 技术 和 安全 产品 已 经 有 了 长 足 的 进步 ,部 分 技术 与 产品 已 
日 趋 成 熟 。 但 是 ,单个 安全 技术 或 者 安全 产品 的 功能 和 性 能 都 有 其 局 限 性 ,只 能 满足 系统 
与 网 络 特定 的 安全 需求 。 因 此 ,如 何 有 效 利用 现 有 的 安全 技术 和 安全 产品 保障 系统 与 网 
络 的 安全 已 成 为 当前 信息 安全 领域 的 研究 热点 之 一 。 现 阶段 网 络 上 使 用 最 多 的 安全 设备 
是 防火 墙 和 入 侵 检 测 ,但 它们 仍 存在 较 多 的 局 限 性 和 脆弱 性 。 


1. 防火 墙 的 局 限 性 和 脆弱 性 

防火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信任 的 公共 网 ) 或 网 络 安 
全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ,能 
根据 企业 的 安全 政策 控制 (允许 ,拒绝 监测 ) 出 入 网 络 的 信息 流 . 且 本 身 具 有 和 较 强 的 抗 攻 
击 能 力 。 它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 ,但 是 它 也 存在 局 
限 性 。 

(1) 防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 。 没 有 经 过 防火 墙 的 数据 ,防火 墙 无 法 检 
查 ,如 拨号 上 网 。 

(2) 防火 墙 不 能 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 。“ 外 紧 内 松 ” 是 一 般 局 域 网 络 
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的 特点 ,或 许 一 道 严密 防守 的 防火 墙 的 内 部 网 络 有 可 能 是 一 片 混乱 。 通 过 社会 工程 学 发 
送 带 木马 的 邮件 、 带 木马 的 URL 等 方式 ,然后 由 中 木马 的 机 器 主动 对 攻击 者 发 起 连接 ， 
将 铁 壁 一 样 的 防火 墙 瞬间 破坏 掉 。 另 外 ,对 于 防火 墙 内 部 各 主机 间 的 攻击 行为 ,防火 墙 也 
爱 莫 能 助 。 

(3) 防火 墙 不 能 防止 最 新 的 未 设置 策略 或 错误 配置 所 引起 的 安全 威胁 。 防 火 墙 的 各 
种 策略 也 是 在 该 攻击 方式 经 过 专家 分 析 后 给 出 其 特征 进而 设置 的 。 如 果 新 发 现 某 个 主机 
漏洞 的 攻击 者 利用 此 漏洞 进行 攻击 ,防火 墙 也 没有 办 法 。 

(4) 防火 墙 不 能 防止 可 接触 的 人 为 或 自然 的 破坏 。 防 火 墙 虽 然 是 一 个 安全 设备 ,但 
防火 墙 本 身 必 须 存在 于 一 个 安全 的 地 方 。 

(5) 防火 墙 无 法 解决 TCP/IP 等 协议 的 漏洞 。 防 火 墙 本 身 就 是 基于 TCP/IP 等 协议 
实现 的 ,无 法 解决 TCP/IP 操作 的 漏洞 ,如 利用 DoS 或 DDoS 进行 攻击 。 

(6) 防火 墙 对 服务 器 合法 开放 的 端口 的 攻击 大 多 无 法 阻止 。 

(7) 防火 墙 不 能 防止 受 病毒 感染 的 文件 的 传输 。 防 火 墙 本 身 并 不 具备 查 杀 病 毒 的 功 
能 ,即使 集成 了 第 三 方 的 防 病毒 的 软件 ,也 没有 一 种 杀毒 软件 可 以 查 杀 所 有 病毒 。 

(8) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 当 有 些 表面 看 来 无 害 的 数据 邮寄 或 复制 到 
内 部 网 的 主机 上 并 被 执行 时 ,可 能 会 发 生 数 据 驱动 式 的 攻击 。 

(9) 防火 墙 不 能 防止 内 部 的 泄密 行为 。 如 果 防 火 墙 内 部 的 一 个 合法 用 户主 动 泄密 ， 
防火 墙 是 无 能 为 力 的 。 

(10) 防火 墙 不 能 防止 本 身 的 安全 漏洞 的 威胁 。 防 火 墙 能 够 保护 别人 ,但 有 时 候 却 无 
法 保护 自己 ,目前 还 没有 厂商 绝对 保证 防火 墙 不 会 存在 安全 漏洞 。 防 火 墙 也 是 一 个 操作 
系统 ,也 有 其 硬件 系统 和 软件 ,因此 依然 有 漏洞 和 Bug, 所 以 其 本 身 也 可 能 受到 攻击 和 出 
现 软 /硬件 方面 的 故障 。 


2. 针对 入 侵 检 测 的 逃避 技术 

由 于 防火 墙 有 上 述 诸多 局 限 性 ,同时 它 处 于 网 关 的 位 置 , 不 可 能 对 进出 攻击 做 出 太 多 
判断 ,否则 会 严重 影响 网 络 性 能 。 如 果 把 防火 墙 比 作 大 门 警卫 ,入 侵 检测 就 是 网 络 中 不 间 
断 的 摄像 机 。 入 侵 检测 通过 旁 路 监听 的 方式 不 间断 地 收取 网 络 数据 ,对 网 络 的 运行 和 性 
能 无 任何 影响 ,同时 判断 其 中 是 否 含有 攻击 的 企图 ,通过 各 种 手段 向 管理 员 报警 。 和 人 侵 检 
测 不 但 可 以 发 现 从 外 部 的 攻击 ,也 可 以 发 现 内 部 的 恶意 行为 。 所 以 ,入 侵 检 测 是 网 络 安全 
的 第 二 道 闸门 ,是 防火 墙 的 必要 补充 ,构成 完整 的 网 络 安全 解决 方案 。 

虽然 人 侵 检测 技术 在 网 络 安全 方面 有 良好 的 性 能 表现 ,但 随 之 也 出 现 了 针对 入 侵 检 
测 的 逃避 技术 , 绕 过 或 欺骗 入 侵 检测 ,实现 人 侵 。 常 见 的 入 侵 检测 逃避 技术 有 以 下 3 种 。 

(1) 利用 字符 串 匹 配 的 弱点 。 通 过 把 字符 串 处 理 技 术 和 字符 替换 技术 结合 到 一 起 ， 
其 可 以 实现 复杂 的 字符 串 伪 装 。 

(2) 碎片 覆盖 。 所 谓 碎片 覆盖 ,就 是 发 送 碎片 覆盖 先前 碎片 中 的 数据 。 

(3) 拒绝 服务 。 拒 绝 服务 会 消耗 检测 设备 的 处 理 能 力 , 是 真正 的 攻击 逃 过 检测 。 例 
如 , 塞 满 硬盘 空间 ,使 检测 设备 无 法 记录 日 志 , 并 且 产 生 超出 其 处 理 能 力 的 报警 ,使 得 系统 
管理 人 员 无 法 研究 所 有 的 报警 ,因此 挂 掉 检 测 设备 。 对 于 入 侵 检测 系统 而 言 ,这 类 和 人 侵 检 
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测 系统 无 迹 可 寻 , 因 此 难以 对 付 。 

目前 ,对 付 破坏 系统 企图 的 理想 方法 是 建立 一 个 完全 安全 的 没有 漏洞 的 系统 。 但 从 
实际 上 看 ,这 是 不 可 能 的 ,软件 中 不 可 能 没有 漏洞 和 缺陷 。 因 此 ,一 个 实用 的 方法 是 ,建立 
比较 容易 实现 的 安全 系统 ,同时 按照 一 定 的 安全 策略 建立 相应 的 安全 辅助 系统 ,如 防火 墙 
系统 和 入 侵 检测 系统 ,漏洞 扫描 系统 也 是 这 样 一 类 系统 。 就 目前 系统 的 安全 状况 而 言 , 系 
统 中 存在 着 一 定 的 漏洞 ,因此 也 就 存在 着 潜在 的 安全 威胁 。 但 是 ,如 果 能 够 根据 具体 的 应 
用 环境 , 尽 可 能 早 地 通过 网 络 扫描 发 现 这 些 漏洞 ,并 及 时 采取 适当 的 处 理 措施 进行 修补 ， 
就 可 以 有 效 地 阻止 入 侵 事 件 的 发 生 。 与 其 “亡羊补牢 ”, 不 如 未 雨 绸 缪 。 因 此 ,及 时 发 现 漏 
洞 是 有 必要 且 非 常 重要 。 

2.4.2 漏洞 扫描 系统 的 应 用 场景 

目前 ,漏洞 扫描 系统 主要 有 两 种 应 用 场景 : 其 一 是 用 于 企业 单位 内 部 自 测 , 发 现 信息 
系统 中 存在 的 安全 漏洞 ;其 二 是 等 保 合 规 的 检测 。 等 保 合 规 的 检测 会 使 用 漏洞 扫描 设备 
对 待 检测 的 单位 进行 漏洞 扫描 ,发 现 系统 中 存在 的 漏洞 。 

2.4.3 漏洞 扫描 系统 的 部 署 方案 


漏洞 扫描 系统 一 般 采 用 旁 路 部 署 的 方式 ,其 部 署 方案 如 图 2-10 所 示 。 在 旁 路 部 署 的 
方式 下 ,漏洞 扫描 系统 可 以 通过 内 网 对 操作 系统 、 数 据 库 、 网 络 设备 防火 墙 等 产品 进行 漏 
洞 扫描 ;同时 ,其 还 可 以 通过 无 线 网 关 (WiFi) 对 移动 端 设 备 的 操作 系统 进行 漏洞 扫描 ; 另 

网 站 系统 ”网 站 系统 。 网 站 系统 


中 


智能 手机 
~ 
智能 手机 < 了/ 无 线 网 关 防水 墙 ~” 360 网 神 SecVSS 3600 


漏洞 扫描 系统 


中 


智能 手机 


数据 库 


图 2-10 漏洞 扫描 系统 的 部 署 方案 
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外 ,在 设置 了 DNS 服务 器 的 情况 下 ,漏洞 扫描 系统 还 可 以 对 外 网 的 相关 网 站 进行 Web 漏 
洞 扫描 。 
旁 路 部 署 的 漏洞 扫描 系统 一 般 有 两 种 扫描 方式 ,分 别 是 主动 扫描 和 被 动 扫 描 。 


1. 主动 扫描 

主动 扫描 是 传统 的 扫描 方式 ,该 方式 是 基于 网 络 的 。 它 通过 网 络 对 远程 的 目标 主机 
建立 连接 ,并 发 送 请 求 信息 ,分析 其 返回 信息 。 当 然 ,无 响应 本 身 也 是 信息 ,从 而 判断 出 目 
标 主机 是 否 存在 漏洞 。 主 动 扫 描 大 都 与 基于 网 络 的 扫描 方式 相 结合 ,采用 已 编写 好 的 特 
定 脚本 进行 模拟 攻击 行为 ,然后 对 目标 主机 的 反馈 信息 进行 跟踪 和 分 析 , 从 中 发 现 潜在 的 
安全 威胁 。 主 动 扫 描 的 优势 在 于 ,能 较 快 获取 信息 ,准确 性 也 比较 高 。 但 其 缺点 在 于 , 易 
被 发 现 , 很 难 掩盖 扫描 痕迹 。 同 时 ,要 成 功 实施 主动 扫描 ,通常 还 需要 突破 防火 墙 。 


2. 被 动 扫描 

被 动 扫描 是 通过 监听 网 络 中 传输 的 数据 包 取 得 信息 ,筛选 出 其 中 的 不 安全 部 分 ,然后 
分 析 信息 系统 是 否 存在 漏洞 。 由 于 被 动 扫描 具有 很 多 优点 ,因此 备 受 重视 ,其 主要 优点 在 
于 扫描 过 程 很 难 被 检测 到 。 被 动 扫描 一 般 只 需要 监听 网 络 流量 ,不 需要 主动 发 送 网 络 包 ， 
也 不 易 受 防火 墙 影响 。 其 主要 缺点 在 于 ,速度 较 慢 ,而 且 准 确 性 较 差 , 当 目标 不 产生 网 络 
流量 时 ,就 无 法 得 知 目标 的 任何 信息 。 
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2.5.1 安全 基线 的 概念 


安全 基线 是 一 个 信息 系统 的 最 小 安全 保证 , 即 该 信息 系统 需要 满足 的 最 基本 的 安全 
要 求 。 信 息 系 统 安全 往往 需要 在 安全 付出 成 本 与 所 能 承受 的 安全 风险 之 间 进 行 平衡 ,而 
安全 基线 正 是 这 个 平衡 的 合理 的 分 界线 。 

安全 基线 概念 的 引入 和 研究 ,可 以 形成 针对 不 同系 统 的 详细 漏洞 要 求 和 检查 清单 要 
求 , 为 标准 化 的 技术 安全 操作 提供 框架 和 标准 。 安 全 基线 的 构建 和 管理 有 助 于 企业 推进 
信息 安全 管理 工作 ,提升 信息 安全 工作 水 平 。 

目前 ,在 等 级 保护 中 使 用 安全 基线 。 信 息 安 全 等 级 保护 是 对 信息 和 信息 载体 按照 重 
要 性 等 级 分 级 别 进行 保护 的 一 种 工作 ,在 中 国 、 美 国 等 多 个 国家 都 存在 的 一 种 信息 安全 领 
域 的 工作 。 在 我 国 ,信息 安全 等 级 保护 广义 上 为 涉及 该 工作 的 标准 、 产 品 、 系 统 \ 信 息 等 均 
依据 等 级 保护 思想 的 安全 工作 ;狭义 上 一 般 指 信息 系统 安全 等 级 保护 。 

《信息 安全 等 级 保护 管理 办 法 ) 规 定 , 国 家 信息 安全 等 级 保护 坚持 自主 定 级 、 自 主 保护 
的 原则 。 信 息 系 统 的 安全 保护 等 级 应 当 根 据 信息 系统 在 国家 安全 经济 建 设 、 社 会 生活 中 
的 重要 程度 ,信息 系统 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 ,法 人 和 其 他 
组 织 的 合法 权益 的 危害 程度 等 因素 确定 。 

信息 系统 的 安全 保护 等 级 分 为 以 下 5 级 。 
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第 1 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 不 
损害 国家 安全 ,社会 秩序 和 公共 利益 。 第 1 级 信息 系统 运营 、 使 用 单位 应 当 依据 国家 有 关 
管理 规范 和 技术 标准 进行 保护 。 

第 2 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损害 ， 
或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 国 家 信息 安全 监管 部 门 对 该 
级 信息 系统 安全 等 级 保护 工作 进行 指导 。 

第 3 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 损害 ,或 者 对 国家 
安全 造成 损害 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 安全 等 级 保护 工作 进行 监督 、 
检查 。 

第 4 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 特别 严重 的 损害 ,或 者 
对 国家 安全 造成 严重 损害 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 安全 等 级 保护 工作 进 
行 强制 监督 ,检查 。 

第 5 级 ,信息 系统 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 的 损害 。 国 家 信息 安全 监 
管 部 门 对 该 级 信息 系统 安全 等 级 保护 工作 进行 专门 监督 检查。 

目前 ,将 信息 安全 等 级 保护 第 3 级 及 以 上 等 级 作为 安全 基线 ,将 该 等 级 对 应 的 防护 要 
求 作 为 安全 基线 的 具体 内 容 , 这 些 防 护 要 求 具体 包括 :“ 身 份 鉴别 “访问 控制 “安全 和 审 
计 ”“ 剩 余 信息 保护 “通信 完整 性 “通信 保密 性 “ 抗 抵 赖 “ 软 件 容错 "以 及 “资源 控制 "等 。 

制定 信息 系统 安全 基线 时 ,参考 等 级 保护 基本 要 求 和 相关 的 国家 安全 规范 针对 现 有 
信息 系统 中 应 用 的 主流 网 络 设备 .安全 设备 .操作 系统 .数据 库 及 重要 的 应 用 系统 .中 间 
件 , 明 确 为 保证 其 基本 安全 运行 而 需要 遵从 的 基本 安全 配置 要 求 及 参数 阔 值 。 依 此 制定 
的 安全 基线 ,事实 上 已 经 涵盖 了 等 级 保护 的 基本 要 求 。 按 照 该 安全 基线 对 信息 平台 进行 
检查 ,相当 于 进行 了 一 次 该 信息 平台 的 等 级 保护 安全 评估 。 


2.5.2 ”安全 基线 的 检测 


安全 基线 的 检测 是 指 对 信息 系统 的 安全 配置 规范 设计 开发 专门 的 配置 检查 工具 ,对 
系统 的 配置 信息 展开 合 规 检 查 ,将 结果 与 安全 基线 进行 比 对 , 找 出 不 符合 的 项 目 。 通 过 选 
择 和 实施 安全 措施 加 固 系统 ,控制 安全 风险 。 配 置 检查 工具 的 开发 和 使 用 在 技术 层面 实 
现 了 安全 基线 检查 的 自动 化 ,提高 了 安全 基线 检查 的 工作 效率 。 

安全 基线 检测 的 实质 是 对 信息 等 级 保护 的 基本 要 求 进行 测评 。 常 见 的 安全 基线 检测 
主要 有 以 下 3 类 。 

1. 网 络 安全 


网 络 安全 主要 是 针对 恶意 代码 进行 防范 。 一 方面 ,应 在 网 络 边界 处 对 恶意 代码 进行 
检测 和 清除 ; 另 一 方面 ,应 维护 恶意 代码 库 的 升级 和 检测 系统 的 更 新 。 


2. 主机 安全 
主机 安全 主要 分 为 身份 鉴别 和 访问 控制 。 一 方面 ,操作 系统 和 数据 库 管理 系统 的 用 
户 身份 标识 应 具有 不 易 被 冒 用 的 特点 ,口令 应 有 复杂 度 要 求 并 定期 更 换 ; 另 一 方面 ,应 严 
格 限制 默认 账户 的 访问 权限 , 重 命名 系统 默认 账户 ,修改 这 些 账户 的 默认 口令 。 
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3. 应 用 安全 

应 用 安全 与 网 络 安全 类 似 , 需 要 防范 恶意 代码 ,但 主机 防 恶意 代码 产品 应 具有 与 网 络 
防 恶意 代码 产品 不 同 的 恶意 代码 库 。 

需要 说 明 的 是 ,此 处 介绍 了 安全 基线 检测 分 为 网 络 、 主 机 和 应 用 ,详细 描述 参见 第 8 


章 相 关 介绍 。 
1. 请 简 述 漏洞 扫描 的 定义 和 原理 。 
2. 常见 的 漏洞 扫描 策略 有 哪些 ? 它们 分 别 有 什 么 特点 ? 
3. 请 简 述 漏洞 扫描 的 流程 。 
4. 为 什么 需要 漏洞 扫描 系统 ? 
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. 漏洞 扫描 系统 常见 的 部 署 方案 是 什么 ? 


安全 基线 是 什么 ? 如何 检测 安全 基线 ? 


第 3 


翘 


网 络 设备 漏洞 及 其 
防范 措施 


在 移动 互联 和 大 数据 时 代 谈 论 网 络 漏洞 ,感知 网 络 漏洞 态势 是 最 基本 、 最 基础 的 工 
作 。 网 络 设备 作为 互联 网 的 关键 网 元 ,其 态势 从 微观 的 角度 反映 了 整体 的 网 络 漏洞 态势 。 
没有 网 络 设 备 的 漏洞 就 没有 网 络 漏洞 。 网 络 设 备 的 漏洞 及 其 防范 措施 的 重要 性 近年 来 不 
断 凸 显 出 来 。 


3.1 ”网 络 设备 常见 漏洞 


网 络 设备 自身 的 安全 性 是 网 络 整 体 安全 中 极其 重要 的 一 环 。 网 络 设备 漏洞 按 设 备 类 
型 可 以 分 为 : 防火 墙 漏 洞 交换 机 漏洞 .路 由 器 漏洞 .网 关 设 备 漏洞 手机 设备 漏洞 和 网 络 
摄像 头 漏洞 。 图 3-1 是 来 自 IOT 设备 漏洞 情况 统计 简报 (CNVD) 的 漏洞 按 设备 类 型 分 布 
图 。 


防火 墙 3% 
交换 机 3% 


网 络 摄像 头 10% 


其 他 68% 


图 3-1 漏洞 按 设 备 类 型 分 布 图 


常见 的 网 络 设备 漏 油 有 路 由 器 漏洞 .交换 机 漏洞 防火墙 漏洞 ,如 图 3-2 所 示 。 
网 络 设备 的 主要 作用 是 进行 数据 的 转发 ,如 果 这 些 设备 出 现 了 漏洞 , 轻 则 影响 网 络 的 
正常 运转 ,严重 时 会 使 流 经 网 络 设备 的 信息 遭 到 窃听 、 自 改 等 ,造成 极 大 的 网 络 安全 隐患 。 
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防火 墙 漏洞 


路 由 器 漏洞 


交换 机 漏洞 
3-2 常见 的 网 络 设备 漏洞 


3.1.1 交换 机 漏洞 


交换 机 漏洞 主要 包括 VLAN 跳跃 漏洞 .生成 树 漏洞 ,MAC 表 洪 水 漏洞 .ARP 漏洞 、 
VTP 漏洞 。 


1. VLAN 跳跃 漏洞 

虚拟 局 域 网 (VLAN) 是 一 组 迎 辑 上 的 设备 和 用 户 ,这些 设 备 和 用 户 并 不 受 物理 位 置 
的 限制 ,可 以 根据 功能 、 部 门 及 应 用 等 因素 将 它们 组 织 起 来 。VLAN 是 一 种 比较 新 的 技 
术 , 工 作 在 OSI 参考 模型 的 第 2 层 和 第 3 层 , 一 个 VLAN 就 是 一 个 广播 域 ,VLAN 之 间 
的 通信 是 通过 第 3 层 的 路 由 器 完成 的 。VLAN 常常 用 于 为 网 络 提供 额外 的 安全 。 因 为 
一 个 VLAN 上 的 计算 机 无 法 与 没有 明确 访问 权 的 另 一 个 VLAN 上 的 用 户 进 行 对 话 , 所 
以 VLAN 本 身 不 足以 保护 环境 的 安全 。 恶 意 黑客 正 是 利用 VLAN 跳跃 漏洞 ,即使 未 经 
授权 ,也 可 以 从 一 个 VLAN 跳 到 另 一 个 VLAN。 具 体 而 言 ,VLAN 中 两 个 相互 连接 的 交 
换 机 ,通过 动态 中 继 协 议 (DTP) 进 行 协商 ,确定 它们 要 不 要 成 为 IEEE 802. 1q 中 继 , 协 商 
过 程 是 通过 检查 端口 的 配置 状态 完成 的 。VLAN 跳跃 漏洞 正 是 利用 了 DTP。 在 VLAN 
跳跃 漏洞 中 ,黑客 可 以 欺骗 计算 机 ,冒充 成 男 一 个 交换 机 发 送 虚 假 的 DTP 协商 消息 ,宣布 
它 想 成 为 中 继 ; 真实 的 交换 机 收 到 这 个 DTP 消息 后 ,以 为 它 应 当 启 用 IEEE 802. 1q 中 继 
功能 ,而 一 旦 中 继 功 能 被 启用 ,通过 所 有 VLAN 的 信息 流 就 会 发 送 到 黑客 的 计算 机 上 。 

中 继 建立 起 来 后 ,黑客 可 以 继续 探测 信息 流 , 也 可 以 通过 给 帧 添加 IEEE 802. 1d 信 
息 ,指定 想 把 攻击 流量 发 送 给 哪个 VLAN。 


2. 生成 树 漏洞 
生成 树 协议 CSTP) 通 过 生成 树 保证 一 个 已 知 的 网 桥 在 网 络 拓扑 中 沿 一 个 环 动态 工 
作 , 使 用 STP 的 所 有 交换 机 都 通过 网 桥 协议 数据 单元 (BPDU) 共 享 信息 ,BPDU 每 两 秒 
就 发 送 一 次 。 交 换 机 发 送 BPDU 时 ,里 面 含 有 名 为 网 桥 ID 的 标号 ,这 个 网 桥 ID 结合 
可 配置 的 优先 数 (默认 值 是 32768) 和 交换 机 的 基本 MAC 地 址 。 交 换 机 可 以 发 送 并 接收 
这 些 BPDU ,以 确定 哪个 交换 机 拥有 最 低 的 网 桥 ID, 拥 有 最 低 网 桥 ID 的 那个 交换 机 成 为 
根 网 桥 (Root Bridge)。 
使 用 生成 树 协议 可 以 防止 元 余 的 交换 环境 出 现 回 路 。 要 是 网 络 有 回路 ,就 会 变 得 拥 
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塞 不 堪 , 从 而 出 现 广播 风暴 .引起 MAC 表 不 一 致 ,最 终 使 网 络 崩 演 。 

恶意 黑客 利用 STP 的 工作 方式 发 动 DDoS 攻击 。 如 果 恶 意 黑客 把 一 台 计算 机 连接 
到 不 止 一 个 交换 机 ,然后 发 送 精心 设计 具有 较 低 ID 的 BPDU 给 网 桥 , 就 可 以 欺骗 交换 
机 ,使 其 以 为 这 是 根 网 桥 ,这 会 导致 STP 重新 收敛 (reconverge) ,从 而 引起 回路 ,导致 网 络 
崩溃 。 

3. MAC 表 洪 水 漏洞 

交换 机 的 工作 方式 是 : 帧 在 进入 交换 机 时 记录 下 MAC 源 地 址 ,这 个 MAC 地 址 与 帧 
进入 的 那个 端口 相关 ,因此 以 后 通 往 该 MAC 地 址 的 信息 流 将 只 通过 该 端口 发 送出 去 。 
这 可 以 提高 带宽 利用 率 , 因 为 信息 流 不 用 从 所 有 端口 发 送出 去 ,只 从 需要 接收 的 那些 端口 

MAC 地 址 存储 在 内 容 可 寻 址 存储 器 (CAM) 里 ,CAM 是 一 个 128KB 大 小 的 保留 内 
存 , 专 门 用 来 存储 MAC 地 址 ,以 便 快速 查询 。 如 果 恶 意 黑客 向 CAM 发 送 大 批 数据 包 ， 
就 会 导致 交换 机 开始 向 各 个 地 方 发 送 大 批 信息 流 , 从 而 埋 下 隐患 ,甚至 导致 交换 机 在 拒绝 
服务 的 漏洞 中 崩溃 。 


4. ARP 漏洞 

ARP(address resolution protocol) 欺 骗 是 一 种 用 于 会 话 支持 漏洞 中 的 常见 手法 。 地 
址 解析 协议 (ARP) 利 用 第 2 层 物理 MAC 地 址 映射 第 3 层 逻 辑 IP 地 址 ,如果 设 备 知 道 了 
IP 地 址 ,但 不 知道 被 请 求 主机 的 MAC 地 址 , 它 就 会 发 送 ARP 请 求 。ARP 请 求 通常 以 广 
播 形 式 发 送 , 以 便 所 有 主机 都 能 收 到 。 

恶意 黑客 可 以 发 送 被 欺骗 的 ARP 回复 ,获取 发 往 另 一 个 主机 的 信息 流 , 即 存在 一 个 
ARP 欺骗 过 程 ,其 中 ARP 请 求 以 广播 帧 的 形式 发 送 , 以 获取 合法 用 户 的 MAC 地址。 假 
设 黑客 Jimmy 也 在 网 络 上 ,试图 获取 发 送 到 这 个 合法 用 户 的 信息 流 , 黑 客 Jimmy 欺骗 
ARP 响应 ,声称 自己 是 IP 地 址 为 10. 0. 0. 55(MAC 地 址 为 05-1C-32-00-A1-99) 的 主人 ， 
合法 用 户 也 会 用 相同 的 MAC 地 址 进行 响应 。 结 果 是 ,交换 机 在 MAC 地 址 表 中 有 了 与 
该 MAC 地 址 相关 的 两 个 端口 ,发 往 这 个 MAC 地 址 的 所 有 帧 都 被 同时 发 送 到 合法 用 户 
和 黑客 Jimmy。 


5. VTP 漏洞 

VLAN 中 继 协 议 (VLAN trunk protocol,VTP) 是 一 种 管理 协议 , 它 可 以 减少 交换 环 
境 中 的 配置 数量 。 就 VTP 而 言 ,交换 机 可 以 是 VTP 服务 器 、VTP 客户 端 或 者 VTP 透明 
交换 机 ,这 里 着 重 讨论 VTP 服务 器 和 VTP 客户 端 。 用 户 每 次 对 工作 于 VTP 服务 器 模 
式 下 的 交换 机 进行 配置 改动 时 ,无论 是 添加 、 修 改 ,还 是 移 除 VLAN,VTP 配置 版 本 号 都 
会 增加 1,VTP 客户 端 看 到 配置 版 本 号 大 于 目前 的 版 本 号 后 ,就 知道 与 VTP 服务 器 进行 
同步 。 

恶意 黑客 可 以 让 VTP 为 已 所 用 , 移 除 网 络 上 的 所 有 VLAN( 除 了 默认 的 VLAN 
外 ) ,这 样 就 可 以 进入 其 他 每 个 用 户 所 在 的 同一 个 VLAN 上 。 不 过 ,用 户 可 能 仍 在 不 同 的 
网 络 上 ,所 以 恶意 黑客 需要 改动 其 IP 地 址 ,才能 进入 位 于 同一 个 网 络 上 其 想 要 攻击 的 
主机 。 
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恶意 黑客 只 要 连接 到 交换 机 ,并 在 计算 机 和 交换 机 之 间 建 立 一 条 中 继 ,就 可 以 充分 利 
用 VTP。 黑 客 可 以 发 送 VTP 消息 到 配置 版 本 号 高 于 当前 的 VTP 服务 器 ,这 会 导致 所 有 
交换 机 都 与 恶意 黑客 的 计算 机 进行 同步 ,从 而 把 所 有 非 默 认 的 VLAN 从 VLAN 数据 库 
中 移 除 出 去 。 


3.1.2 路 由 器 漏洞 


截止 到 2016 年 底 , 包 括 D-Link、TP-Link、Cisco、 斐 讯 .iKuai 等 一 众 国 内 外 知名 品牌 
都 相继 爆 出 了 高 危 漏洞 ,影响 上 万 用 户 的 网 络 安 全 。 图 3-3 所 示 为 来 自 瑞 星 2016 年 中 国 
信息 安全 报告 的 根据 exploits-db 披露 的 各 品牌 路 由 器 漏洞 比例 。 

路 由 器 的 漏洞 类 型 包括 默认 口令 、 固 件 漏洞 .路 由 后 门 等 一 系列 安全 问题 。 通 过 对 相 
关 路 由 器 事件 进行 统计 ,在 各 种 攻击 方式 中 弱 口 令 占 比例 最 多 。 根 据 CNVD 白 帽 子 、 补 
天 平台 以 及 漏洞 盒子 等 来 源 的 汇总 信息 ,路 由 器 漏洞 类 型 比例 如 图 3-4 所 示 。 


小 米 5% 
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NETGEAR 7% 其 他 10% 


其 他 16% 
极 路 由 3% 


SE 


D-Link 8% 
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后 门 20% 


TP-Link 24% 
弱 口 令 (默认 口令 ) 40% 
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图 3-3 2016 年 各 品牌 路 由 器 漏洞 比例 图 3-4 路 由 器 漏洞 类 型 比例 


3.1.3 防火墙 漏 洞 


网 络 攻击 者 如 果 获 得 路 由 器 或 交换 机 的 管理 访问 权限 ,将 会 产生 灾难 性 后 果 。 而 如 
果 攻 击 者 获得 了 防火 墙 管 理 权 限 , 后 果 将 更 加 严重 。 对 于 任何 企业 而 言 , 防 火 墙 都 是 主要 
的 防御 手段 ,如 果 攻 击 者 获取 了 关闭 防火 墙 的 权限 或 者 甚至 能 够 操纵 它 允 许 某 些 流量 出 
和 人 ,结果 可 能 是 毁灭 性 的 。 

因此 ,各 种 防火 墙 供应 商会 不 定期 地 发 布 已 知 漏洞 的 修复 补丁 ,而 对 于 未 知 漏洞 ,可 
能 无 法 及 时 提供 修复 补丁 。 例 如 ,思科 公司 投入 了 大 量 资金 维护 其 产品 的 安全 性 ,在 
Security Advisories、Response 和 Notices 网 站 提供 了 相关 数据 库 , 让 用 户 充分 了 解 所 有 
思科 产品 (包括 防火 墙 ) 的 最 新 安全 问题 ,并 且 发 布 修复 补丁 。 但 很 多 企业 用 户 没 有 安排 
专门 的 人 员 监 控 防火 墙 供应 商 最 新 发 布 的 漏洞 信息 及 补丁 ,这 样 的 做 法 存在 严重 问题 。 
因为 负责 管理 企业 防火 墙 基 础 设施 的 人 员 必 须 尽 一 切 努 力 了 解 最 新 修复 补丁 、 漏 洞 监控 
和 其 他 可 能 产生 的 问题 。 根 据 数据 库 防火 墙 技 术 市 场 调研 报告 ,2016 年 各 公司 防火 墙 漏 
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洞 报告 如 图 3-5 所 示 。 可 以 看 出 ,在 防火 墙 市 场 中 ,Oracle 公司 发 布 的 防火 墙 漏洞 报告 占 
比较 大 ,为 提高 防火 墙 的 安全 性 ,各 防火 墙 供应 商 应 重视 最 新 漏洞 信息 以 及 补丁 的 发 布 。 


图 3-5 2016 年 各 公司 防火 墙 漏 洞 报告 


电网 络 设备 漏洞 扫描 


如 何 避 免 网 络 漏洞 的 产生 ,保障 自身 网 络 的 安全 ,其 中 一 个 主要 的 方法 就 是 自 查 自 
纠 ,在 这 个 过 程 中 ,对 网 络 设备 漏洞 进行 扫描 成 为 一 种 较为 快捷 直观、 简单 的 方法 。 扫 描 
技术 基于 TCP/IP, 对 各 种 网 络 服务 ,无论 是 主机 ,或 者 防火 墙 、. 路 由 器 、 交 换 机 漏洞 都 适 
用 。 同时 ,扫描 可 以 确认 各 种 配置 的 正确 性 ,避免 遭受 不 必要 的 攻击 。 网 络 扫描 是 一 把 双 
刃 剑 ,对 于 安全 管理 员 来 说 ,可 用 来 确保 自己 系统 的 安全 性 ,也 能 被 黑客 用 来 查找 系统 的 
入 侵 点 。 目 前 ,扫描 技术 已 经 非常 成 熟 ,已 经 出 现 了 大 量 应 用 于 商业 , 非 商业 的 扫描 器 。 


3.2.1 扫描 器 的 重要 性 


(1) 扫描 器 能 够 暴露 网 络 上 潜在 的 脆弱 性 。 
(2) 无 论 扫描 器 被 管理 员 利用 ,或 者 被 黑客 利用 ,都 有 助 于 加 强 系统 的 安全 性 。 
(3) 能 够 使 得 漏洞 被 及 早 发 现 。 


(4) 扫描 器 除了 能 扫描 端口 ,往往 还 能 够 发 现 系统 存活 情况 ,以 及 哪些 服务 在 运行 。 
(5) 用 已 知 的 漏洞 测试 这 些 系统 。 
(6) 能 够 完成 操作 系统 辨识 .应 用 系统 识别 等 任务 。 
3.2.2 ”常见 的 漏洞 扫描 器 类 型 
漏洞 扫描 器 是 一 种 能 自动 检测 远程 或 本 地 主机 系统 在 安全 性 方面 弱点 和 隐患 的 程 
序 。 常 见 的 漏洞 扫描 器 类 型 根据 工作 模式 不 同 , 可 以 分 为 主机 漏洞 扫描 器 和 网 络 漏洞 扫 
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描 器 两 大 类 。 主 机 漏洞 扫描 器 又 称 本 地 扫描 器 , 它 与 待 检查 系统 运行 于 同一 结 点 ,执行 对 
自身 的 检查 。 它 的 主要 功能 为 分 析 各 种 系统 文件 内 容 , 查 找 可 能 存在 的 对 系统 安全 造成 
威胁 的 配置 错误 。 网 络 漏洞 扫描 器 又 称 远程 扫描 器 , 它 和 待 检查 系统 运行 于 不 同 结 点 , 通 
过 网 络 远程 探测 目标 结 点 ,检查 安全 漏洞 。 远 程 扫描 器 检查 网 络 和 分 布 式 系统 的 安全 漏 
洞 。 根 据 扫描 功能 不 同 , 可 以 将 常见 的 扫描 器 分 为 如 下 几 种 类 型 。 


1. 端口 扫描 器 

Nmap 是 最 常用 的 扫描 工具 ,很 多 人 认为 Nmap 仅 用 于 扫描 端口 ,但 Nmap 的 功能 非 
常 强大 ,包括 操作 系统 的 服务 判定 .操作 系统 指纹 的 判定 防火墙 及 IDS 的 规避 技术 。 
Nmap 可 以 完成 大 范围 的 早期 评估 工作 。 实 际 上 ,Nmap 的 端口 扫描 的 不 管 是 主机 开放 
端口 .服务 ,还 是 操作 系统 版 本 , 它 的 大 部 分 依据 都 来 自 端 口 扫描 的 结果 ,根据 其 结果 去 判 
定 其 他 信息 。 


2. 漏洞 扫描 器 

以 nessus 为 免费 产品 代表 ,nessus 的 安装 应 用 程序 ,脚本 语言 都 是 公开 的 ,但 从 版 本 
3 开始 它 就 转向 一 个 私有 的 授权 协议 。 其 扫描 引擎 仍然 免费 ,不 过 对 其 支持 和 最 新 的 漏 
洞 定义 要 收费 。nessus 目前 的 最 新 版 本 是 nessus 7. 2。 该 扫描 器 不 仅 可 以 检查 系统 漏 
洞 ,还 可 以 检查 一 部 分 配置 失误 。 


3. Web 应 用 扫描 器 

这 类 扫描 器 相对 而 言 ,功能 比较 专 一 , 仅 用 于 评估 网 站 的 安全 性 ,对 于 系统 、 网 络 的 基 
础 情况 一 般 不 关注 ,关注 的 焦点 主要 是 Web 应 用 。 常 见 的 有 appscan、WEBinspect, 主要 
检测 Web 应 用 数据 提交 、 信 息 泄 漏 等 问题 。 


3.2.3 商业 扫描 器 的 特点 
大 部 分 商业 扫描 器 都 工作 在 黑 盒 模式 ,这 种 扫描 器 的 特点 如 下 。 


1. 精确 扫描 漏洞 

在 商业 化 应 用 中 ,对 误 报 、 漏 报 的 容忍 程度 比较 低 。 但 目前 的 情况 , 误 报 和 漏 报 还 是 
无 法 规避 的 。 具 体 扫 描 的 信息 有 如 下 3 个 方面 。 

状态 扫描 : 状态 扫描 是 对 目标 主机 开放 的 服务 、 通 信 的 情况 .OS 版 本 和 应 用 服务 的 
版 本 进行 扫描 。 

漏洞 扫描 : 漏洞 扫描 是 通过 扫描 验证 当前 系统 是 否 存在 可 利用 、 不 可 利用 的 漏洞 ,如 
果 可 利用 ,那么 通过 使 用 一 些 扫描 器 就 可 以 进行 写 和 文件 或 者 拿 到 shell。 

弱 口 令 扫描 : 弱 口 令 就 是 使 用 的 密码 较 简单 。 弱 口令 扫描 主要 使 用 密码 字典 和 穷 举 
对 开放 的 服务 进行 口令 破解 。 

2. 修补 联动 

商用 扫描 器 在 漏洞 精确 扫描 之 后 ,会 给 出 一 些 建议 和 技术 手段 屏蔽 漏洞 。 最 初 提供 
的 是 一 些 修补 建议 ,这 种 方式 对 专业 技术 人 员 来 说 有 相当 价值 ,但 对 于 一 些 技术 较 薄 弱 或 
者 比较 懒惰 的 用 户 ,修补 建议 的 作用 就 被 忽略 了 。 在 新 一 代 的 商用 扫描 器 中 ,提出 了 修补 
联动 的 概念 ,通过 发 送 注册 表 提 示 用 户 ,用户 双 击 注 册 表 , 就 可 以 导入 需要 修改 升级 补丁 
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的 信息 ,并 且 还 可 以 和 WSUS 进行 联动 ,通过 该 方式 基本 实现 自动 化 的 修补 。 
3.2.4 常见 的 扫描 技术 


为 了 描述 常见 的 扫描 技术 ,以 Nmap 工作 流程 为 例 ,整个 扫描 流程 如 图 3-6 所 示 。 

(1) 存活 性 扫描 : 指 大 规模 评估 一 个 较 大 网 络 的 存活 状态 。 例 如 , 跨 地 域 . 跨 系统 的 
大 型 企业 。 但 是 ,被 扫描 主机 可 能 通过 一 些 欺骗 性 措施 逃 过 存活 性 扫描 的 判定 ,如 使 用 防 
火 墙 阻塞 ICMP 数据 包 。 

(2) 端口 扫描 : 针对 主机 判断 端口 的 开放 和 关闭 情况 ,不 管 其 是 不 是 存活 。 端 口 扫 
描 也 成 为 存活 性 扫描 的 一 个 有 益 补 充 , 如 果 主 机 存活 ,必然 要 提供 相应 的 状态 ,因此 无 法 
隐藏 其 存活 情况 。 

(3) 服务 识别 : 通过 端口 扫描 的 结果 ,可 以 判断 出 主机 提供 的 服务 及 其 版 本 。 

(4) 操作 系统 识别 : 利用 服务 的 识别 ,可 以 判断 出 操作 系统 的 类 型 及 其 版 本 。 

根据 以 上 扫描 流程 ,具体 介绍 以 下 5 种 扫描 技术 。 


( 开始 ) 


1 
存活 性 扫描 
1 
端口 扫描 
1 
服务 识别 
】 规避 技术 
操作 系统 识别 
| | | | 
异常 IP 包 头 | [无 效 字段 值 | [内 部 路 由 踢 | 反 向 映 遇 
图 3-6 扫描 流程 图 图 3-7 规避 扫描 


1. 主机 存活 扫描 技术 

主机 扫描 的 目的 是 确定 在 目标 网 络 上 的 主机 是 否 可 达 。 这 是 信息 收集 的 初级 阶段 ， 
其 效果 直接 影响 到 后 续 的 扫描 。ping 就 是 最 原始 的 主机 存活 扫描 技术 ,利用 ICMP 的 
echo 字段 ,如 果 发 出 的 请 求 收 到 回应 , 则 代表 主机 存活 。 


2. 规避 技术 
为 了 达到 规避 防火 墙 和 入 侵 检测 设备 的 目的 ,利用 ICMP 协议 提供 网 络 间 传 送 错误 
信息 的 功能 ,使 其 成 为 非常 规 扫描 手段 。 其 主要 原理 是 利用 被 探测 主机 产生 的 ICMP 错 
误 报 文 进行 复杂 的 主机 探测 。 
常用 的 规避 技术 大 致 分 为 4 类 ,如 图 3-7 所 示 。 
异常 IP 包头: 向 目标 主机 发 送 包 头 错 误 的 IP 包 ,目标 主机 或 过 滤 设 备 会 反馈 ICMP 
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Parameter Problem Error 信息 。 常 见 的 伪造 错误 字段 为 Header Length 和 IP Options。 
不 同 厂 家 的 路 由 器 和 操作 系统 对 这 些 错 误 的 处 理 方式 不 同 , 返 回 的 结果 也 不 同 。 

在 IP 头 中 设置 无 效 的 字段 值 : 向 目标 主机 发 送 的 IP 包 中 填充 错误 的 字段 值 ,目标 
主机 或 过 滤 设 备 会 反馈 ICMP Destination Unreachable 信息 。 这 种 方法 同样 可 以 探测 目 
标 主机 和 网 络 设备 。 

通过 超 长 包 探 测 内 部 路 由 器 : 若 构造 的 数据 包 长 度 超过 目标 系统 所 在 路 由 器 的 
PMTU 且 设 置 禁 止 分 片 标 志 , 则 该 路 由 器 会 反馈 Fragmentation Needed and Don’t 
Fragment Bit was Set 差错 报 文 。 

反 向 映射 探测 : 用 于 探测 被 过 滤 设 备 或 防火 墙 保护 的 网 络 和 主机 。 具 体 运行 机 制 是 
构造 可 能 的 内 部 IP 地 址 列表 ,并 向 这 些 地 址 发 送 数据 包 。 当 对 方 路 由 器 接收 到 这 些 数据 
包 时 ,会 进行 IP 识别 并 安排 好 路 由 ,对 不 在 其 服务 范围 的 IP 包 发 送 ICMP Host 
Unreachable 或 ICMP Time Exceeded 错误 报 文 ,没有 接收 到 相应 错误 报 文 的 IP 地 址 则 
被 认为 在 该 网 络 中 。 


3. 端口 扫描 技术 

完成 主机 存活 性 判断 之 后 ,就 应 该 判定 主机 开放 信道 的 状态 ,端口 就 是 在 主机 上 面 开 
放 的 信道 ,端口 总 数 是 65535, 其 中 0 一 1024 为 知名 端口 。 端 口 实际 上 就 是 从 网 络 层 映 射 
到 具体 进程 的 通道 。 通 过 这 个 关系 就 可 以 掌握 什么 样 的 进程 使 用 了 什么 样 的 通道 ,在 这 
个 过 程 中 ,可 以 通过 进程 取得 的 信息 为 查找 后 门 .了 解 系统 状态 提供 有 力 的 支撑 。 常 见 的 


端口 扫描 技术 如 图 3-8 所 示 。 
| 端口 扫描 技术 避 | 
| TCP 扫 描 | UDP 扫描 


Reverse-ident TCP SYN 
扫描 扫描 


图 3-8 常见 的 端口 扫描 技术 


1) TCP 扫描 

利用 三 次 握手 过 程 与 目标 主机 建立 完整 或 不 完整 的 TCP 连接 。 

在 TCP 的 报头 里 有 6 个 连接 标记 ,分 别 是 URG、ACK、PSH、RST、SYN.、FIN。 通 
过 这 些 连接 标记 不 同 的 组 合 方式 ,可 以 获得 不 同 的 返回 报 文 。 例 如 ,发 送 一 个 SYN 置 
位 的 报 文 ,如 果 SYN 置 位 瞄准 的 端口 是 开放 的 ,SYN 置 位 的 报 文 到 达 的 端口 开放 的 时 
候 , 就 会 返回 SYN 十 ACK ,代表 其 能 够 提供 相应 的 服务 。 收 到 SYN 十 ACK 后 ,返回 给 
对 方 一 个 ACK。 这 个 过 程 就 是 著名 的 三 次 握手 。 这 种 扫描 的 速度 和 精度 都 是 令 人 满 
意 的 。 
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Reverse-ident 扫描 : 这 种 技术 利用 了 ident 协议 (RFC1413),TCP 端口 为 113 ,这 是 
很 多 主机 都 会 运行 的 协议 ,用 于 鉴别 TCP 连接 的 用 户 。 

ident 的 操作 原理 是 查找 特定 TCP/IP 连接 并 返回 拥有 此 连接 进程 的 用 户 名 。 它 也 
可 以 返回 主机 的 其 他 信息 ,但 这 种 扫描 方式 只 能 在 TCP 全 连接 之 后 才 有 效 , 并 且 实 际 上 
很 多 主机 都 会 关闭 Ident 服务 。 

TCPSYN 扫描 : 向 目标 主机 的 特定 端口 发 送 一 个 SYN 包 , 如 果 端 口 没 开放 ,就 不 会 
返回 SYN 十 ACK, 这 时 会 给 你 一 个 RST, 停 止 建立 连接 。 由 于 连接 没有 完全 建立 ,所 以 
称 为 半 开 放 扫 描 。 但 由 于 SYN flood 作为 一 种 DDoS 攻击 手段 被 大 量 采 用 ,因此 很 多 防 
火 墙 都 会 对 SYN 报 文 进行 过 滤 ,所 以 这 种 方法 并 不 总 是 有 效 的 。 

其 他 还 有 FIN、NULL、Xmas 等 扫描 方式 。 

2) UDP 扫描 

由 于 现在 防火 墙 设备 的 流行 ,TCP 端口 的 管理 状态 越 来 越 严 格 ,不 会 轻易 开放 ,并 且 
通信 监视 严格 。 为 了 避免 这 种 监视 ,达到 评估 的 目的 ,就 出 现 了 秘密 扫描 。 这 种 扫描 方式 
的 特点 是 利用 UDP 端口 关闭 时 返回 的 ICMP 信息 ,不 包含 标准 的 TCP 三 次 握手 协议 的 
任何 部 分 ,隐蔽 性 好 。 

但 是 ,UDP 扫描 使 用 的 数据 包 在 通过 网 络 时 容易 被 丢弃 ,从 而 产生 错误 的 探测 信息 ， 
并 且 该 方式 具有 明显 的 缺陷 , 即 速 度 慢 、 精 度 低 。UDP 的 扫描 方法 比较 单一 ,基础 原理 
是 : 当 发 送 一 个 报 文 给 UDP 端口 ,该 端口 是 关闭 状态 时 ,端口 会 返回 给 一 个 ICMP 信息 ， 
所 有 的 判定 都 基于 这 个 原理 。 

使 用 UDP 扫描 需要 注意 的 是 : 第 一 ,因为 UDP 不 是 面向 连接 的 ,所 以 其 精度 较 低 ; 
第 二 ,UDP 的 扫描 速度 比较 慢 ,TCP 扫描 开放 1s 的 延 时 ,在 UDP 里 可 能 就 需要 2s, 这 是 
由 于 不 同 操作 系统 在 实现 ICMP 的 时 候 为 了 避免 广播 风暴 都 会 有 峰值 速率 的 限制 (因为 
ICMP 并 不 是 传输 载荷 信息 ,所 以 传输 信息 的 价值 有 限 ,操作 系统 在 实现 时 会 避免 ICMP 
报 文 过 多 。 为 了 避免 产生 广播 风暴 ,操作 系统 对 ICMP 报 文 规定 了 峰值 速率 。 对 于 不 同 操 
作 系 统 , 该 速率 不 同 ) ,因此 ,利用 UDP 作为 扫描 的 基础 协议 会 对 精度 、 延 时 产生 较 大 影响 。 


4. 服务 及 系统 指纹 
判定 完 端口 状况 之 后 ,继而 就 要 判定 服务 。 常 见 的 服务 及 系统 指纹 技术 如 图 3-9 


所 示 。 
端口 判定 : 这 种 判定 服务 的 方式 就 是 根据 端口 直接 利用 端口 与 服务 对 应 的 关系 ， 
如 23 端口 对 应 Telnet,21 对 应 FTP,80 对 应 HTTP。 这 种 方式 判定 服务 是 较 早 的 一 种 
方式 ,对 于 大 范围 评估 ,是 有 一 定价 值 的 ,但 

其 精度 较 低 。 例 如 ,使 用 NetCat 这 样 的 工 ts 
具 在 80 端口 上 监听 ,这 样 扫 描 时 会 以 为 80 

在 开放 ,但 实际 上 80 并 没有 提供 HTTP 服 | 
务 , 由 于 这 种 关系 只 是 简单 对 应 ,并 没有 判断 | 端口 浊 证 
端口 运行 的 协议 ,这 就 会 产生 误 判 ,认为 只 要 
开放 了 80 端口 ,就 是 开放 了 HTTP。 但 实际 图 3-9 常见 的 服务 及 系统 指纹 技术 


Banner 
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并 非 如 此 ,这 就 是 端口 扫描 技术 在 服务 判定 上 的 根本 缺陷 。 

Banner: Banner 的 方式 相对 精确 。 获 取 服 务 的 Banner 是 一 种 比较 成 熟 的 技术 ,可 用 
来 判定 当前 运行 的 服务 ,对 服务 的 判定 较为 准确 。 该 方式 不 仅 能 判定 服务 ,还 能 判定 具体 
的 服务 版 本 信息 。 例 如 ,根据 头 部 信息 发 现 对 方 是 Redhat Linux, 基 本 上 可 以 锁定 服务 
的 真实 性 。 此 外 ,这 种 技术 比较 灵活 。 例 如 , HTTP、FTP、Telnet 都 能 够 获取 一 些 
Banner 信息 。 为 了 判断 服务 类 型 .应 用 版 本 、OS 平台 ,通过 模拟 各 种 协议 初始 化 握手 获 
取信 息 。 

但 是 需要 注意 的 是 ,在 安全 意识 普遍 提升 的 今天 ,对 Banner 的 伪装 导致 精度 大 幅 降 
低 。 例 如 ,IIS 和 Apache 可 以 对 存放 Banner 信息 的 文件 字段 进行 修改 ,而 且 这 种 修改 的 
开销 很 低 。 此 外 ,当前 流行 的 一 个 伪装 工具 Servermask 不 仅 能 够 伪造 多 种 主流 Web 服 
务 器 Banner, 还 能 伪造 HTTP 应 答 头 信息 里 的 项 的 序列 。 


5. 指纹 技术 
指纹 技术 利用 TCP/IP 协议 楼 实现 上 的 特点 辨识 一 个 操作 系统 。 可 辨识 操作 系统 类 
型 . 主 版 本 号 ,甚至 可 辨识 小 版 本 号 。 常 见 的 

指纹 技术 指纹 技术 如 图 3-10 所 示 。 

主动 识别 技术 : 采用 主动 发 包 ,利用 多 
| | | 次 试探 ,一 次 一 次 筛选 不 同 信息 ,如 根据 
-一 一 ER | ACK 值 判 断 ,有 些 系统 会 发 回 所 确认 的 TCP 
入 人 | | 本 交管 信 | | - 识 出 法 林 分 组 的 序列 号 ,有 些 会 发 回 序列 号 加 1, 还 有 


一 些 操作 系统 会 使 用 一 些 固定 的 TCP 窗口 。 

某 些 操作 系统 还 会 设置 IP 头 的 DF 位 改善 
性 能 ,这 些 都 可 以 成 为 判断 的 依据 。 需 要 说 明 的 是 ,这 种 技术 判定 Windows 的 精度 比较 
差 , 只 能 判定 一 个 大 致 区 间 ,很 难 判定 出 其 精确 版 本 ,但 是 在 识别 UNIX 网 络 设备 时 , 甚 
至 可 以 判定 出 小 版 本 号 ,精确 度 较 高 。 在 大 多 数 情况 下 ,目标 主机 与 源 主 机 跳 数 越 多 , 精 
度 越 差 ,原因 在 于 数据 包 里 的 很 多 特征 值 在 传输 过 程 中 都 已 经 被 修改 或 模糊 化 ,一 定 程 度 
上 会 影响 到 探测 的 精度 。 

被 动 识别 技术 : 不 是 向 目标 系统 发 送 分 组 ,而 是 被 动 监测 网 络 通信 ,以 确定 所 用 的 操 
作 系 统 。 具 体 而 言 , 对 报头 内 DF 位 、TOS 位 、 窗 口 大 小 .TTL 的 嗅 探 进行 判断 。 因 为 该 
方式 不 需要 发 送 数 据 包 ,只 需要 抓 取 其 中 的 报 文 ,所 以 叫 作 被 动 识别 技术 。 

ICMP 指纹 识别 技术 : 在 黑 帽 大 会 上 ,出 现 了 ICMP 指纹 识别 技术 ,并 开发 出 相应 的 
工具 Xprobe, 其 优势 是 只 需要 通过 ICMP ,发 送 一 批 UDP 包 给 关闭 的 高 端 端 口 , 然 后 计 
算 返 回来 的 不 可 达 错 误 消息 。 通 常情 况 下 送 回 IP 头 十 8 个 字 节 ,但 是 个 别 系统 送 回 的 数 
据 更 多 一 些 。 根 据 ICMP 回应 的 TOS、TTL 值 、 校 验 和 等 信息 ,并 以 树 状 的 形式 过 滤 , 最 
终 精 确 锁定 。 例 如 , 当 发 送 ICMP 的 echo 请 求 时 ,对 方 回应 的 TTL 值 是 有 一 定 规律 可 
循 的 。 


图 3-10 常见 的 指纹 技术 
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33 网 络 设备 漏洞 防护 


3.3.1 硬件 本 身 的 防护 措施 


1. 防火 墙 防护 

防火 墙 技术 是 网 络 漏洞 防护 中 最 常用 的 技术 之 一 。 防 火 墙 可 以 看 作 是 一 个 位 于 计算 
机 和 它 所 连接 的 网 络 之 间 的 软件 或 硬件 ,该 计算 机 流入 /流出 的 所 有 网 络 通信 和 数据 包 均 
要 经 过 此 防火 墙 。 防 火 墙 的 作用 原理 是 在 用 户 端 网 络 周围 建立 起 一 定 的 保护 网 络 ,从 而 
将 用 户 的 网 络 与 外 部 的 网 络 相隔 。 防 火 墙 技术 能 够 在 很 大 程度 上 阻挡 外 部 的 入 侵 ,同时 
还 能 避免 系统 内 部 对 外 部 网 络 进行 非法 访问 。 简 单 地 说 ,防火 墙 就 是 在 内 部 系统 和 外 部 
网 络 之 间 建 立 起 一 层 保护 层 , 在 这 个 保护 层 中 有 各 种 各 样 的 硬件 和 软件 设施 ,能 够 区 分 用 
户 内 部 网 络 和 外 界 网 络 、 公 告 网 络 等 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 
应 用 网 关 4 个 部 分 组 成 。 任 何 外 部 的 访问 都 需要 经 过 这 几 个 部 分 的 验证 后 才 被 允许 ,而 
无 法 通过 防火 墙 验证 的 访问 则 被 限制 在 了 防火 墙 的 外 部 ,这 样 就 能 在 最 大 限度 上 防止 黑 
客 和 病毒 的 入侵 ,得 除非 法 访问 ,避免 网 络 内 部 的 信息 被 随意 自 改 。 防 火 墙 技术 最 开始 是 
为 了 避免 Internet 网 络 中 的 不 安全 因素 ,而 当前 该 技术 已 经 在 局 域 网 和 互联 网 中 得 到 广 
泛 应 用 ,成 为 基础 性 的 网 络 安全 保护 设施 。 


2. 路 由 器 防护 

路 由 器 具备 了 完备 的 安全 功能 ,有 时 甚至 要 比 防火 墙 的 功能 还 完备 。 现 在 的 大 多 数 
路 由 器 都 具备 了 健壮 的 防火 墙 功能 ,还 有 一 些 有 用 的 IDSVIPS 功能 ,可 以 作为 健壮 的 
QoS 和 流量 管理 工具 ,当然 还 具备 强大 的 VPN 数据 加 密 功能 。 综 上 ,路 由 器 完全 有 能 力 
为 网 络 增加 安全 性 。 同 时 ,利用 现代 的 VPN 技术 ,可 以 相当 简便 地 为 企业 WAN 上 的 所 
有 数据 流 进行 加 密 。 通 常 , 主 要 从 以 下 4 个 方面 实现 路 由 器 防护 。 

1) 对 路 由 器 设置 特定 的 IP 地 址 

当 设置 路 由 器 时 ,首先 是 在 浏览 器 中 输入 路 由 器 的 管理 地 址 ,进入 路 由 器 管理 界面 ， 
但 是 ,有 时 为 了 安全 考虑 ,网 络 管理 员 会 修改 路 由 器 的 默认 管理 地 址 为 其 他 地 址 。 

一 般 情 况 , 用 户 都 是 从 WLAN 内 获得 对 路 由 器 基于 Web 的 管理 接口 的 访问 ,不 需要 
远程 管理 路 由 器 。 但 这 种 方式 并 不 安全 , 较 安全 的 做 法 是 ,用 户 首先 使 用 虚拟 专用 网 络 
(VPN) 安 全 地 连接 到 本 地 网 络 , 然 后 再 访问 路 由 器 的 接口 。 采 用 这 样 的 方式 ,攻击 者 就 
不 能 从 网 络 直接 访问 路 由 器 了 。 

如 果 用 户 采取 上 述 保护 方法 ,就 可 以 进一步 锁定 自身 的 路 由 器 了 。 此 外 ,通过 指定 一 
个 互联 网 协议 (IP) 地 址 ,用 户 就 可 以 管理 路 由 器 。 具 体 方法 如 下 : 用 户 通过 手动 配置 计 
算 机 ,使 其 在 需要 连接 到 路 由 器 时 ,通过 路 由 器 的 动态 主机 配置 协议 (DHCP) 自动 使 用 尚 
未 分 配给 WLAN 上 其 他 设备 的 特定 IP 地 址 。 

用 户 还 可 以 试 着 将 他 们 的 路 由 器 的 LAN IP 地 址 更 改 为 DHCP 地 址 池 中 的 第 一 个 
地 址 以 外 的 地 址 。 这 样 就 把 路 由 器 从 整个 网 络 分 开 , 有 助 于 保护 路 由 器 免 受 跨 站 点 请 求 
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伪造 (CSRF) 的 攻击 。 

2) 拒绝 使 用 无 线 安全 设置 

对 于 一 般 用 户 ,无 线 安全 设置 (WPS) 提 供 了 一 个 相对 简便 的 加 密 方法 。 通 过 该 功 
能 ,不 仅 可 以 将 具备 WPS 功能 的 WiFi 设备 和 无 线路 由 器 进行 快速 互联 ,还 可 以 随机 产 
生 一 个 8 位 数字 的 字符 串 作为 个 人 识别 号 码 (PIN) 进 行 加 密 操作 ,省 去 了 客户 端 连 入 无 
线 网 络 时 ,必须 手动 添加 网 络 名称 (SSID) 及 输入 元 长 的 无 线 加密 密 码 的 烦琐 过 程 。 

路 由 器 制造 商 认 为 对 无 线 网 加 密 是 一 个 复杂 的 过 程 ,为 了 方便 用 户 ,于 是 设计 开发 了 
WPS 功能 。 该 功能 允许 新 用 户 通 过 输入 一 个 8 位 数 的 PIN 加 入 网 络 , 当 正确 提交 时 ,将 
更 复杂 的 PSK 传送 到 其 设备 并 存储 。 

然而 ,任何 容易 设置 的 东西 同时 也 容易 遭 到 攻击 。 美 国 计 算 机 应 急 准 备 小 组 
(USCERT) 在 2012 年 就 把 WPS 的 安全 漏洞 公之于众 。 早 在 2011 年 ,就 有 攻击 者 可 以 
强制 获得 有 线 等 效 保密 (WEP) 或 WiFi 保护 访问 (WPA) 的 密码 了 。 目 前 还 没有 针对 
WPS 缺陷 的 通用 补丁 ,除非 设备 生产 商 把 所 有 的 设备 进行 更 新 。 

3) 考虑 网 络 分 段 和 MAC 地 址 过 滤 

网 络 分 段 和 无 线 MAC 地 址 过 滤 都 可 以 有 效 控制 无 线 网 络 内 用 户 的 上 网 权限 ,实施 
分 离 的 VLAN 就 可 以 将 物 联 网 设备 与 其 他 部 分 隔离 。 如 果 攻 击 者 侵入 并 访问 VLAN， 
则 在 大 多 数 情 况 下 不 会 影响 其 他 的 连 网 设备 。 

为 了 进一步 加 强 安全 ,用 户 可 以 利用 每 个 计算 设备 的 媒体 访问 控制 (MAC) 地 址 或 其 
唯一 的 硬 编码 标识 符 将 该 设备 列 入 白 名 单 , 并 批准 其 对 无 线 网 的 访问 ,那些 没有 访问 权限 
的 设备 则 无 法 连接 到 路 由 器 。 

4) 端口 转发 和 IP 过 滤 结 合 使 用 

家 庭 路 由 器 都 配 有 防火 墙 ,以 便 阻止 互联 网 上 的 所 有 设备 与 本 地 网 络 上 的 设备 连接 。 

路 由 器 和 计算 设备 通常 具有 通用 即 插 即 用 (UPnP) 的 特征 。 路 由 器 UPnP 功能 用 于 
实现 局 域 网 计算 机 和 智能 移动 设备 ,通过 网 络 自动 彼此 对 等 连接 ,而 且 连 接 过 程 无 须 用 户 
的 参与 。 但 并 不 是 用 户 都 希望 他 们 的 设备 被 自动 连接 ,这 时 用 户 可 以 设置 端口 转发 。 端 
口 转发 是 一 组 防火 墙 人 站 规则 ,告诉 路 由 器 读 取 每 个 传人 数据 包 的 源 IP 地 址 、TCP 中 的 
源 端 口号 等 其 他 特性 。 根 据 这 些 特性 ,路 由 器 就 可 以 对 特定 的 设备 发 送 数据 包 或 阻止 不 
符合 特性 的 访问 。 

端口 转发 和 IP 过 滤 结 合 使 用 所 起 的 作用 就 是 指定 哪些 IP 地 址 可 以 使 用 哪些 特定 端 
口 ,才能 连 入 网 络 ,这 样 在 一 定 程度 上 提高 了 路 由 器 的 安全 性 。 


3. 交换 机 防护 
交换 机 实际 是 一 个 为 转发 数据 包 优化 的 计算 机 :但 是 只 要 是 计算 机 ,就 有 被 攻击 的 可 
能 ,如 非法 获取 交换 机 的 控制 权 ,导致 网 络 次 痪 以 及 受到 DoS 攻击 等 。 此 外 ,交换 机 可 以 
作 生 成 权 维 护 、 路 由 协议 维护 、ARP、 建 路 由 表 , 维 护 路 由 协议 ,对 ICMP 报 文 进行 处 理 ， 
监控 交换 机 ,这 些 都 有 可 能 成 为 黑客 攻击 交换 机 的 手段 。 
传统 交换 机 主要 用 于 数据 包 的 快速 转发 ,强调 转发 性 能 。 随 着 局 域 网 的 广泛 互联 ,加 
上 TCP/IP 本 身 的 开放 性 ,网 络 安全 成 为 一 个 突出 问题 ,网 络 中 的 敏感 数据 、 机 密 信 息 被 
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泄漏 ,重要 数据 设备 被 攻击 ,而 交换 机 作为 网 络 环境 中 重要 的 转发 设备 ,其 原来 的 安全 特 
性 已 经 无 法 满足 现在 的 安全 需求 ,因此 传统 的 交换 机 需要 增加 安全 性 。 

在 网 络 设备 厂商 看 来 ,加 强 安全 性 的 交换 机 是 对 普通 交换 机 的 升级 和 完善 ,除了 具备 
一 般 的 功能 外 ,这 种 交换 机 还 具备 普通 交换 机 不 具有 的 安全 策略 功能 。 这 种 交换 机 从 网 
络 安全 和 用 户 业 务 应 用 出 发 ,能 够 实现 特定 的 安全 策略 ,限制 非法 访问 ,进行 事后 分 析 , 有 
效 保障 用 户 网 络 业 务 的 正常 开展 。 实 现 安全 性 的 一 种 做 法 就 是 在 现 有 交换 机 中 嵌入 各 种 
安全 模块 。 现 在 , 越 来 越 多 的 用 户 都 表示 希望 在 交换 机 中 增加 防火 墙 \VPN、 数 据 加 密 、 
身份 认证 等 功能 。 

安全 性 加 强 后 的 交换 机 本 身 具有 抗 攻 击 性 , 比 普通 交换 机 具有 更 高 的 智能 性 和 安全 
保护 功能 。 在 系统 安全 方面 ,交换 机 在 网 络 由 核心 到 边缘 的 整体 架构 中 实现 了 安全 机 制 ， 
即 通过 特定 技术 对 网 络 管理 信息 进行 加 密 控制 ;在 接 人 安全 性 方面 ,采用 安全 接 人 机 制 ， 
包括 IEEE 802. 1x 接 入 验证 ,RADIUS/TACACST、MAC 地 址 检验 以 及 各 种 类 型 虚拟 网 
技术 等 。 不 仅 如 此 ,许多 交换 机 还 增加 了 硬件 形式 的 安全 模块 ,一 些 具 有 内 网 安全 功能 的 
交换 机 则 更 好 地 遏制 了 随 着 WLAN 应 用 而 泛滥 的 内 网 安全 隐患 。 

目前 交换 机 中 常用 的 安全 技术 主要 包括 以 下 4 种 。 

1) 流量 控制 技术 

把 流 经 端口 的 异常 流量 限制 在 一 定 范围 内 。 许 多 交换 机 具有 基于 端口 的 流量 控制 功 
能 ,能 够 实现 风暴 控制 .端口 保护 和 端口 安全 。 流 量 控制 功能 用 于 交换 机 与 交换 机 之 间 在 
发 生 拥塞 时 通知 对 方 暂时 停止 发 送 数 据 包 ,以 避免 报 文 丢失 。 广 播 风 暴 抑制 可 以 限制 广 
播 流量 的 大 小 ,对 超过 设 定 值 的 广播 流量 进行 丢弃 处 理 。 然 而 ,交换 机 的 流量 控制 功能 只 
能 对 经 过 端口 的 各 类 流量 进行 简单 的 速率 限制 ,将 广播 ,组 播 的 异常 流量 限制 在 一 定 
范围 内 ,无 法 区 分 哪些 是 正常 流量 ,哪些 是 异常 流量 。 同 时 , 设 定 一 个 合适 的 阔 值 也 比 
较 困 难 。 

2) 访问 控制 列表 (ACL) 技 术 

ACL 通过 对 网 络 资源 进行 访问 输入 和 输出 控制 ,确保 网 络 设备 不 被 非法 访问 或 被 用 
作 攻 击 跳 板 。ACL 是 一 张 规则 表 ,交换 机 按照 顺序 执行 这 些 规 则 ,并 且 人 处理 每 一 个 进入 
端口 的 数据 包 。 每 条 规则 根据 数据 包 的 属性 (如 源 地 址 .目的 地 址 和 协议 ) 选 择 允 许 或 拒 
绝 数 据 包 通 过 。 由 于 规则 是 按照 一 定 顺序 处 理 的 ,因此 每 条 规则 的 相对 位 置 对 于 确定 允 
许 和 不 允许 什么 样 的 数据 包 通过 网 络 至 关 重 要 。 

如 今 , 业 界 普遍 认为 安全 应 该 遍布 于 整个 网 络 内 ,内 网 到 外 网 的 安全 既 需 要 通过 防火 
墙 之 类 的 专业 安全 设备 解决 ,也 需要 交换 机 在 保护 用 户 方面 发 挥 作用 。 目 前 绝 大 多 数 用 
户 对 通过 交换 机 解决 安全 问题 抱 积极 态度 . 近 75% 的 用 户 打算 今后 在 实践 中 对 交换 机 采 
取 安 全 措施 ,希望 通过 加 固 遍布 网 络 的 交换 机 实现 安全 目标 。 

3)“ 防 护 ” 需 要 出 色 的 体系 结构 

优秀 的 防护 首先 要 有 一 个 出 色 的 体系 结构 设计 。 现 在 ,很 多 交换 机 产品 都 采用 全 分 
布 式 体系 结构 设计 ,通过 功能 强大 的 ASIC 芯片 进行 高 速 路 由 查找 ,使 用 最 长 匹配 、 逐 包 
转发 的 方式 进行 数据 转发 ,从 而 大 大 提升 了 路 由 交换 机 的 转发 性 能 和 扩充 能 力 。 
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4) IPv6 技术 

近 几 年 来 ,IT 技术 迅速 发 展 ,用 户 日 益 丰 富 的 应 用 需求 以 及 越 来 越 多 终端 设备 对 网 
络 的 需求 促使 现 有 的 IPv4 类 型 IP 地 址 呈现 枯竭 之 势 。 相 关 调 查 机 构 的 数据 显示 ,全 球 
可 提供 的 IPv4 地 址 大 约 有 40 亿 个 ,估计 在 未 来 5 年 间 将 被 分 配 完毕 。 而 我 国 的 情况 更 
严峻 ,2017 年 我 国 网 民 已 突破 8000 万 ,截止 到 2017 年 年 底 ,我 国 总 共 申请 到 的 IPv4 的 
地 址 为 6000 万 左右 。 一 些 业内 专家 明确 指出 , 若 不 解决 IP 地 址 问题 ,将 会 成 为 我 国 乃 至 
世界 IT 业界 以 及 其 他 相关 行业 发 展 的 瓶颈 。 于 是 ,IPv6 成 了 解决 IPv4 地 址 匮乏 的 

现 有 互联 网 采用 的 IPv4 协议 最 初 设计 是 用 于 教育 科研 网 和 企业 网 ,因此 在 协议 的 设 
计 中 很 少 关注 网 络 的 安全 性 ,导致 目前 的 互联 网 络 自身 的 安全 保护 能 力 有 限 ,许多 应 用 系 
统 处 于 不 设防 或 很 少 设防 的 状态 ,存在 着 太 多 的 安全 隐患 ,并且 情 况 日 趋 严重 和 复杂 。 有 目 
前 的 病毒 早已 不 再 是 传统 的 病毒 ,而 是 混合 了 黑客 攻击 和 病毒 特征 于 一 体 的 网 络 攻击 行 
为 。2003 年 ,系统 漏洞 问题 首次 大 规模 成 为 人 们 关注 的 焦点 ,目前 , 除 微软 的 系统 漏洞 
外 , 像 某 型 路 由 器 ,数据库 .Linux 操作 系统 ,移动 通信 系统 以 及 很 多 特定 的 应 用 系统 中 ， 
均 存 在 大 量 的 漏洞 ,尤其 是 在 关键 应 用 系统 中 ,如 人 金融. 电信、 民航 .电力 等 系统 ,漏洞 一 旦 
被 黑客 利用 ,造成 的 后 果 将 不 堪 设 想 。 

随 着 用 户 需 求 和 业务 的 不 断 发 展 ,互联 网 安全 成 为 实现 创新 业务 和 赢利 商业 模式 的 
前 提 。 由 于 IPv4 地 址 的 短缺 ,无 法 实现 端 到 端的 安全 性 ,解决 的 办 法 是 采用 网 络 地 址 转 
换 (NAT) 技 术 , 或 利用 端口 复 用 技术 ,或 使 用 私有 IP 地 址 ,以 扩大 公有 IP 地址 的 使 用 
率 。NAT 方式 在 原来 的 客户 /服务 器 模式 的 应 用 上 可 以 很 好 地 使 用 ,但 新 型 应 用 越 来 越 
多 地 依赖 于 对 等 方式 通信 。 此 外 ,对 于 大 量 增长 的 终端 等 在 线 设 备 来 说 , 端 到 端的 寻 址 变 
得 非常 重要 。 由 于 NAT 方式 无 法 保证 端 到 端 通信 ,这 就 限制 了 很 多 新 业务 的 开展 ,严重 
阻碍 了 互联 网 产业 发 展 。 因 此 , 端 到 端的 安全 性 是 未 来 业务 的 基本 特性 ,只 有 借助 IPv6 
丰富 的 地 址 空间 实现 真正 的 端 到 端 ,才能 保证 下 一 代 互 联网 多 种 新 业务 的 开展 和 成 熟 商 
业 模 式 的 形成 。 


3.3.2 ”技术 角度 的 防护 措施 
网 络 设备 的 漏洞 防护 主要 需要 从 以 下 几 大 方面 着 手 。 


1. 设备 自身 的 安全 性 

设备 自身 的 安全 性 包括 设备 系统 版 本 是 否 存在 漏洞 和 硬件 是 否 存在 后 门 等 。 对 于 漏 
洞 等 技术 上 的 问题 ,通常 会 有 相应 的 解决 方案 ,例如 ,通过 关闭 服务 规避 或 升级 软件 修复 
漏洞 等 ,但 现实 却 是 大 量 的 设备 使 用 方 并 没有 及 时 采用 这 些 方案 和 措施 ,因而 导致 网 络 设 
备 被 利用 和 攻击 。 


2. 设备 配置 安全 
需 考虑 设备 配置 是 否 得 当 , 其 中 设备 的 配置 包括 管理 配置 以 及 策略 配置 。 
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3. 账号 口令 设置 及 用 户 权 限 分 配 

修改 默认 管理 员 的 账号 和 密码 ;根据 自己 的 实际 需求 建立 相应 的 用 户 账号 ,并 只 为 之 
分 配 必要 的 权限 ,然后 设置 一 个 复杂 的 密码 ,并 定期 修改 ;修改 默认 的 登录 参数 ,以 提高 安 
全 性 。 

4. 设备 的 访问 控制 

使 用 专用 的 管理 口 对 设备 进行 管理 ,并 配置 只 允许 特定 IP 有 访问 设备 管理 IP 的 权 
限 , 尽 量 不 向 外 网 开放 设备 的 访问 权限 。 对 于 设备 提供 的 5 种 管理 方式 “串口 ”HTTP、 
HTTPS、SSH Telnet ,建议 不 要 使 用 HTTP 和 Telnet 方式 对 设备 进行 管理 ,原因 在 于 这 
两 种 方式 在 传输 用 户 名 和 密码 时 都 是 明文 ,很 容易 被 恶意 用 户 探 测 到 。 最 后 ,需要 修改 默 
认 的 管理 端口 。 


5. 将 设备 的 日 志 发 送 到 服务 器 
设备 重启 后 ,有 些 设备 日 志 会 被 清空 。 为 了 更 好 地 保存 日 志 ,建议 将 日 志 发 送 到 专门 
的 服务 器 保存 。 这 样 ,在 出 现 问题 或 发 生 安全 事件 后 ,可 以 方便 地 通过 日 志 分 析 原因 。 


3.3.3 管理 角度 的 防护 措施 


为 了 快速 有 效 地 提升 网 络 设备 防护 ,除了 完善 网 络 设备 在 安全 管理 方面 存在 的 不 足 
外 ,同时 在 一 定 程度 上 也 需要 规避 技术 上 的 缺陷 ,有 效 提升 设备 运行 安全 性 。 为 降低 网 络 
设备 的 安全 风险 ,针对 漏洞 .后 门 .DDoS 攻击 等 安全 问题 ,实现 动态 、 持 续 、 有 效 防护 , 需 
要 从 防护 意识 .防护 制度 和 安全 配置 等 方面 进行 针对 性 的 完善 和 提升 ,具体 如 下 。 

1) 增强 网 络 设备 安全 防护 意识 是 基础 

针对 网 络 设备 的 安全 防护 ,首先 要 增强 人 们 的 安全 防护 意识 ,充分 认识 到 网 络 设备 的 
安全 重要 性 。 例 如 ,设备 使 用 方 需要 了 解 如 果 发 生 攻 击 事件 ,可 能 导致 的 严重 后 果 是 什 
么 ;可 能 的 攻击 路 径 有 哪些 ,如 何 防范 和 监测 ;出 现 安 全 问题 时 如 何 快速 响应 。 增 强 安 全 
防护 意识 还 要 求 设 备 使 用 方 持续 关注 所 用 网 络 设备 的 安全 威胁 情报 ,出 现 新 的 漏洞 时 要 
及 时 跟 进 ,了 解 临时 防护 措施 ,实现 动态 的 、 持 续 的 安全 防护 。 

2) 健全 并 实施 合理 的 网 络 设备 安全 管理 制度 是 关键 

制定 并 实施 合理 的 网 络 设备 防护 管理 制度 ,是 实现 网 络 设备 安 全 防护 的 有 效 手段 。 
在 设备 使 用 方 的 防护 管理 制度 中 ,不 可 忽视 对 网 络 设备 的 安全 防护 管理 。 例 如 ,在 人 员 方 
面 ,需要 配置 专业 的 管理 人 员 ,对 相关 人 员 定 期 进行 安全 意识 和 技能 培训 ;在 设备 管理 权 
限 方面 ,严格 限制 配置 修改 权限 ,实现 分 级 分 权 管理 ,具备 差异 化 的 口令 要 求 以 及 口令 严 

3) 持续 保障 配置 安全 是 核心 

网 络 设备 的 防护 问题 大 部 分 源 于 安全 配置 的 缺乏 。 网 络 设备 的 安全 配置 可 重点 从 以 
下 4 个 方面 人手 : 一 是 配置 严格 的 远程 访问 控制 ,限制 访问 路 径 ; 二 是 关闭 无 用 的 对 外 服 
务 ,遵循 “最 小 够 用 ”原则 ;三 是 配置 日 志 审 计 和 日 志 备份 ,实现 有 效 审 计 和 溯源 ;四 是 定期 
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检查 软件 版 本 ,及 时 修复 已 知 漏洞 ,安全 升级 。 


1. 常见 的 网 络 设备 漏洞 有 哪些 ? 

2. 常见 的 交换 机 漏洞 有 哪些 ? 各 有 什么 特点 ? 
3. 扫描 器 的 重要 性 体现 在 哪些 方面 ? 

4. 常见 的 扫描 技术 包含 哪些 ? 


.从 哪些 方面 可 以 对 网 络 设备 漏洞 进行 防护 ? 


Cn 


与 防护 


第 4 音 
“操作 系统 漏洞 及 其 


防范 措施 


操作 系统 (Operation System,OS) 是 管理 和 控制 计算 机 硬件 与 软件 资源 的 计算 机 程 
序 , 是 用 户 和 计算 机 的 接口 ,同时 也 是 计算 机 硬件 和 其 他 软件 的 接口 。 本 章 主要 介绍 操作 
系统 的 基础 知识 。 通 过 本 章 的 学 习 , 达 到 理解 操作 系统 的 基本 概念 、 操 作 系 统 常 见 的 漏 
洞 .操作 系统 漏洞 的 发 展 趋势 .操作 系统 的 安全 扫描 以 及 漏洞 的 防护 等 目标 。 


4.1 操作 系统 的 基本 概念 


操作 系统 是 直接 运行 在 * 裸 机 ?上 的 最 基本 的 系统 软件 ,任何 其 他 软件 都 必须 在 操作 
系统 的 支持 下 才能 运行 。 

作为 一 个 底层 的 系统 软件 ,操作 系统 肩负 诸如 管理 与 配置 内 存 、 决 定 系统 资源 供需 的 
优先 次 序 .控制 输入 与 输出 设备 .操作 网 络 与 管理 文件 系统 等 基本 事务 。 操 作 系统 是 一 个 
庞大 的 控制 管理 程序 ,包括 进程 与 处 理 机 管理 .作业 管理 ,存储 管理 .设备 管理 .文件 管理 。 
所 有 的 操作 系统 都 具有 并 发 性 、 共 享 性 、 虚 拟 性 和 不 确定 性 。 

在 信息 系统 的 安全 中 ,操作 系统 的 安全 至 关 重 要 ,其 安全 职能 是 其 他 软件 安全 职能 的 
根基 。 一 方面 ,操作 系统 直接 为 用 户 数据 提供 各 种 保护 机 制 , 如 实现 用 户 数据 之 间 的 隔 
离 ; 男 一 方面 ,为 用 户 程序 提供 可 靠 的 运行 环境 ,保证 应 用 程序 的 各 种 安全 机 制 正常 发 挥 
作用 ,如 禁止 数据 管理 系统 之 外 的 应 用 程序 直接 操作 数据 库 文 件 ,以 防 数据 库 系 统 的 安全 
保护 机 制 被 绕 过 。 

在 计算 机 网 络 环境 中 ,整个 网 络 的 安全 依赖 于 其 中 各 主机 系统 的 安全 可 信 性 。 如 果 
没有 操作 系统 安全 作为 基础 ,就 谈 不 上 主机 系统 和 网 络 的 安全 。 因 此 ,操作 系统 的 安全 是 
整个 信息 安全 体系 的 基石 。 


42 操作 系统 的 常见 漏洞 


4.2.1 Windows 系统 的 常见 漏洞 


Windows 操作 系统 以 其 操作 方便 .界面 友好 等 特点 深 受 全 球 用 户 的 欢迎 ,是 目前 个 
人 计算 机 上 安装 使 用 最 多 的 操作 系统 。 但 其 也 被 发 现 了 大 量 的 漏洞 ,其 中 相当 部 分 可 以 
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被 人 侵 者 利用 ,进而 控制 系统 。 本 节 主 要 对 这 些 常见 漏洞 的 攻击 原理 进行 简单 介绍 。 


1. 权限 许可 和 访问 控制 漏洞 

Microsoft Windows 中 的 Edge 存在 提 权 漏洞 ,该 漏洞 源 于 程序 没有 正确 地 强制 执行 
跨 域 策略 。 攻 击 者 可 利用 该 漏洞 跨 域 访问 信息 、 执 行 操作 (更 改 权限 、 删 除 内 容 或 向 浏览 
器 中 注入 恶意 的 内 容 ), 并 将 该 信息 注入 其 他 域 。 以 下 版 本 容易 受 该 漏洞 的 影响 ， 
Microsoft Windows 10、Windows 10 版 本 1511、Windows 10 版 本 1607、Windows 10 版 
本 1703、Windows 10 版 本 1709、Windows Server 2016。 


2. 信息 泄漏 漏洞 

Microsoft Windows 中 存在 信息 泄漏 漏洞 ,该 漏洞 源 于 its:// 协 议 处 理 器 不 必要 地 将 
流量 发 送 到 远程 网 站 ,决定 请 求 区 域 。 攻 击 者 可 利用 该 漏洞 实施 暴力 破解 攻击 ,获取 相应 
的 散 列 密码 。 

3. 远程 代码 执行 漏洞 

Microsoft Windows RPC 存在 远程 代码 执行 漏洞 。 由 于 远程 访问 服务 处 理 请 求 方式 
不 当 , 远 程 攻击 者 可 利用 漏洞 执行 任意 代码 。 


4. 安全 绕 过 漏洞 
Microsoft Windows 中 的 Device Guard 存在 安全 绕 过 漏洞 ,该 漏洞 源 于 程序 未 能 正 
确 地 验证 不 可 信 的 文件 。 攻 击 者 可 借助 未 签名 的 文件 利用 该 漏洞 执行 恶意 文件 。 


5. GDI 组 件 信息 泄漏 漏洞 

Microsoft Windows 7 SP1 是 一 套 个 人 计算 机 使 用 的 操作 系统 。Windows Server 
2008 SP2 和 R2 SP1 是 服务 器 操作 系统 。GDI component 是 其 中 的 一 个 图 形 设 备 接口 组 
件 。Microsoft Windows 7 SP1、Windows Server 2008 SP2 和 R2 SP1 中 的 GDI 组 件 存在 
信息 泄漏 漏洞 ,该 漏洞 源 于 程序 未 能 正确 地 公布 内 核 内 存 地 址 。 本 地 攻击 者 可 通过 登录 
受 影响 的 系统 并 运行 特制 的 应 用 程序 利用 该 漏洞 获取 信息 。 


6. Kernel API 权限 提升 漏洞 

Kernel API 是 Windows 操作 系统 的 内 核 API。Microsoft Windows 中 的 Kernel 
API 存在 权限 提升 漏洞 。 攻 击 者 可 借助 特制 的 应 用 程序 利用 该 漏洞 注入 跨 进 程 通信 ,中 
断 系 统 功能 。 


7. Kernel 本 地 信息 泄漏 漏洞 
Microsoft Windows 中 的 Kernel 存在 本 地 信息 泄漏 漏洞 。 攻 击 者 可 通过 登录 受 影 响 的 
系统 并 运行 特制 的 应 用 程序 利用 该 漏洞 检索 信息 , 绕 过 地 址 空间 布局 随机 化 (ASLR) 技 术 。 


8. Server Message Block 权限 提升 漏洞 
Server Message Block(SMB)Server 是 Windows 操作 系统 的 一 个 为 计算 机 提供 身份 
验证 .用 以 访问 服务 器 上 的 打印 机 和 文件 系统 的 组 件 。Microsoft Windows 中 的 SMB 
Server 存在 权限 提升 漏洞 。 攻 击 者 可 通过 登录 系统 并 运行 特制 的 应 用 程序 ,利用 该 漏洞 
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绕 过 安全 检查 ,控制 受 影响 的 系统 。 


9. 输入 验证 漏洞 
Microsoft Windows 输入 验证 漏洞 存在 于 多 个 版 本 的 Windows 系统 中 ,远程 攻击 者 
可 借助 特制 的 . LINK 文件 利用 该 漏洞 执行 任意 代码 。 


10. WPAD 服务 权限 提升 漏洞 

Windows 默认 开启 的 WPAD 服务 中 存在 权限 提升 漏洞 ,攻击 者 可 利用 该 漏洞 远程 
控制 Windows 系统 ,并 且 能 够 获取 系统 的 最 高 权限 。 

攻击 者 首先 需要 伪造 NetBIOS 连接 ( 即 攻 击 者 使 用 的 终端 伪装 成 NetBIOS 可 识别 
的 目标 ) ,与 目标 网 络 或 主机 产生 通信 可 能 。 通 过 伪装 方式 ,只 要 支持 建立 NetBIOS 通 
信 , 即 使 目标 网 络 或 主机 处 于 局 域 网 中 ,攻击 者 也 有 可 能 绕 过 防火 墙 和 NAT 设备 ,将 网 
络 流量 通过 互联 网 全 部 重 定向 到 攻击 者 的 计算 机 。 可 以 预见 的 攻击 场景 有 : 攻击 者 将 终 
端 伪装 成 网 络 设备 (例如 ,打印 机 服务 器 或 文件 服务 器 ) , 即 可 监听 未 加 密 流 量 , 也 可 以 发 
起 中 间 人 攻击 ,如 拦截 和 算 改 Windows 更 新 下 载 ,向 用 户 网 络 请 求 返回 中 植 和 人 恶意 页 面 
(URL); 此 外 ,攻击 者 还 可 通过 Edge、Internet Explorer、Microsoft Office 或 Windows 上 
的 许多 第 三 方 软件 利用 该 漏洞 ,也 有 可 能 通过 其 他 类 型 网 络 服务 或 者 通过 本 地 端口 驱动 
组 件 进行 利用 。 综 合 业 内 各 方 研判 情况 ,该 漏洞 影响 版 本 范围 跨度 大 、 利 用 方式 穿 透 绕 过 
能 力 强 , 一 旦 漏洞 细节 披露 ,将 造成 极为 广泛 的 攻击 威胁 ,或 可 诱发 APT 攻击 。 


11. 快捷 方式 漏洞 

快捷 方式 漏洞 是 Windows Shell 框架 中 存在 的 一 个 危急 安全 漏洞 。 在 Shell32. dl 
的 解析 过 程 中 ,会 通过 “快捷 方式 ”的 文件 格式 逐个 解析 : 首先 找到 快捷 方式 指向 的 文件 
路 径 , 接 着 找到 快捷 方式 依赖 的 图 标 资源 。 这 样 ,在 Windows 桌面 和 开始 菜单 上 就 可 以 
看 到 各 种 图 标 , 当 点 击 这 些 快捷 方式 时 ,就 会 执行 相应 的 应 用 程序 。 

微软 Lnk 漏洞 就 是 攻击 者 利用 系统 解析 的 机 制 ,恶意 构造 出 一 个 特殊 的 快捷 方式 
(CLnk) 文 件 来 骗 操 作 系统 。 当 Shell32. dll 解析 到 这 串 编码 的 时 候 , 会 认为 这 个 “快捷 方 
式 "依赖 一 个 系统 控件 (dll 文件 ) ,于 是 将 这 个 “系统 控件 加载 到 内 存 中 执行 。 如 果 这 个 
“系统 控件 "是 病毒 ,那么 Windows 在 解析 这 个 Lnk 文件 时 ,就 把 病毒 激活 了 。 该 病毒 很 
可 能 通过 USB 存储 器 进行 传播 。 

12. SMB 协议 漏洞 

SMB 协议 主要 作为 Microsoft 网 络 的 通信 协议 ,用 于 在 计算 机 间 共 享 文件 .打印 机 、 
串口 等 。 当 用 户 执行 SMB2 协议 时 ,系统 将 会 受到 网 络 攻击 ,从 而 导致 系统 崩溃 或 重启 。 
因此 ,只 要 故意 发 送 一 个 错误 的 网 络 协议 请 求 , Windows 7 系统 就 会 出 现 页 面 错误 ,从 而 
导致 蓝屏 或 死机 。 

4.2.2 ”其 他 常见 的 操作 系统 漏洞 


1. UNIX 操 作 系 统 漏洞 
UNIX 系 统 因 其 性 能 稳定 可 靠 ,在 金融 、 保 险 等 行业 得 到 广泛 的 应 用 。 但 是 ,目前 UNIX 
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系统 仍 有 一 些 软件 本 身 存在 着 安全 隐患 。 本 节 探 讨 UNIX 系统 存在 的 漏洞 ,具体 如 下 。 

1) UNIX 系统 与 环境 变量 相关 的 安全 漏洞 

《1 PS; 

一 种 攻击 的 方法 是 通过 输入 域 分 隔 符 (Internal Field Seprator,IFS) Shell 变量 实现 
的 。 该 变量 用 于 决定 传 给 Shell 的 字符 串 分 隔 符 。 例 如 ,一 个 程序 调用 函数 system() 或 
popen() 执 行 一 个 命令 ,那么 该 命令 首先 由 Shell 分 析 。 如 果 执 行 的 用 户 可 以 控制 IFS 环 
境 变量 ,可 能 会 导致 不 可 预测 的 结果 。 

(2) Home。 

另 一 种 环境 攻击 的 方法 是 通过 使 用 Home 环境 变量 。 通 常 ,csh 和 ksh 在 路 径 名 称 
中 用 字符 “一 ”代替 该 变量 。 因 此 ,如 果 一 个 人 侵 者 能 改变 该 值 ,就 能 利用 一 个 使 用 字符 
“一 ”作为 Home 命令 的 Shell 文件 破坏 系统 安全 。 

(3) Path 。 

用 Path 攻击 的 方法 特征 是 利用 Path 环境 变量 文件 路 径 的 值 和 顺序 。 如 果 执 行 的 命 
令 不 是 以 绝对 路 径 方式 执行 , 则 不 合理 的 路 径 顺序 会 导致 意外 的 结果 。 

(4) Umask 值 。 

默认 的 文件 保护 掩 码 C(Umask) 的 设置 经 常 是 不 正确 的 。 许 多 程序 没有 检查 Umask 
的 值 ,而 且 经 常 忘记 指定 新 建文 件 的 保护 掩 码 值 。 即 使 该 程序 创建 了 一 个 文件 ,也 容易 忘 
记 改 变 其 保护 模式 而 使 之 安全 。 入 侵 者 可 以 利用 这 一 点 更 改 可 写 的 文件 。 因 此 ,在 建立 
任何 文件 前 ,要 先 建立 一 个 Umask 值 。 

2) UNIX 系统 源 程序 代码 的 漏洞 

(1) 缓冲 区 溢出 。 

不 好 的 编程 习惯 也 会 导致 软件 的 安全 漏洞 。 一 个 典型 的 利用 该 漏洞 的 例子 是 
Morris 蠕虫 。 该 漏洞 利用 了 系统 调用 gets() 在 执行 时 不 检查 参数 的 长 度 , 而 fgets() 系 统 
调用 没有 这 个 问题 。 上 述 漏洞 使 得 在 用 户 的 控制 下 缓冲 区 会 溢出 ,因此 程序 会 出 现 不 可 
预测 的 结果 。 另 外 ,还 有 几 个 系统 调用 也 存在 同样 的 漏洞 ,它们 是 scanf() 、sscanf()、 
fscan{() 和 sprintf() 。 

(2) 状态 返回 值 。 

另 一 个 经 常 存在 的 漏洞 是 不 检查 每 个 系统 调用 的 返回 值 。 这 意味 着 人 侵 者 如 果 可 以 
控制 程序 运行 环境 ,就 能 调用 一 个 失败 的 系统 ,而 调用 在 用 户 程序 中 却 认为 是 永远 会 正确 
对 待 的 。 这 会 使 用 户 的 程序 出 现 不 确定 的 结果 。 

(3) 捕捉 信号。 

在 很 多 情况 下 ,程序 员 编 写 的 程序 不 捕 提 它 可 以 接收 的 信号 ,因此 执行 的 结果 会 有 异 
常情 况 。 这 允许 一 个 人 侵 者 设置 其 Umask 为 某 个 值 ,之 后 向 一 个 特权 (具有 特殊 用 户 权 
限 ) 程 序 发 送 一 个 信号 一 一 该 信号 使 特权 程序 产生 core 文件 (有 的 系统 不 允许 产生 core 
文件 )。 此 时 ,该 core 文件 的 所 有 者 是 执行 该 程序 的 Uid, 但 是 它 的 保护 掩 码 是 由 Umask 
设置 的 。 

3) 特洛伊 木马 

特洛伊 木马 与 一 般 用 户 想 要 执行 的 程序 从 外 观 上 看 (如 文件 名 ) 很 相似 ,如 编辑 器 、 登 录 
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程序 、 游 戏 程序 ,而 它 实际 上 完成 的 是 其 他 操作 (如 删除 文件 ,窃取 口令 和 格式 化 磁盘 等 )。 

特洛伊 木马 可 以 出 现在 许多 地 方 。 它 们 可 以 出 现在 被 编译 过 的 程序 中 ,也 可 以 出 现 
在 由 系统 管理 员 执 行 的 系统 命令 文件 中 。 其 他 的 特洛伊 木马 包括 作为 消息 (如 电子 邮件 
或 发 给 终端 的 消息 ) 的 一 部 分 发 送 。 具 体 而 言 ,一些 邮件 头 (Mail Header) 允 许 用 户 退 到 
外 过 (Shell) 并 执行 命令 ,该 特性 可 以 在 邮件 被 阅读 的 时 候 被 激活 ;给 终端 发 送 特定 的 消 
息 能 在 终端 上 存储 一 个 命令 序列 ,然后 该 命令 被 执行 ,就 好 像 从 键盘 上 敲 入 一 样 ;此 外 , 编 
辑 器 初始 化 文件 (如 vi 对 应 的 . exrc 文件 ) 也 是 经 常 存放 特洛伊 木马 的 地 方 。 

不 幸 的 是 ,特洛伊 木马 的 攻击 能 力 很 强 。 入 侵 者 经 常 以 多 种 途径 改变 系统 ,以 便 在 最 
初 的 攻击 活动 被 发 现 后 ,还 可 以 进入 系统 。 为 了 找 出 特洛伊 木马 ,必须 搜索 整个 系统 ,这 
也 使 恢复 一 个 被 攻破 的 系统 更 加 困难 。 

4) 网 络 监 听 和 数据 截取 

计算 机 安全 面临 的 一 个 威胁 是 计算 机 之 间 传 输 的 数据 很 容易 被 截取 到 。 过 去 在 大 型 
主机 时 代 , 这 不 是 威胁 ,因为 在 这 种 系统 上 数据 传输 是 处 于 系统 控制 之 下 的 。 但 由 于 异 构 
系统 互联 ,敏感 数据 的 传输 会 处 于 系统 的 控制 之 外 。 有 许多 现成 的 软件 可 以 监视 网 络 上 
传输 的 数据 。 特 别 脆弱 的 是 总 线 型 网 络 ( 如 以 太 网 ) ,这 种 网 络 上 发 送 给 每 个 特定 机 器 的 
数据 可 以 被 网 络 通路 上 的 任何 机 器 截取 到 。 

这 意味 着 任意 数据 都 可 以 被 截取 并 用 于 不 同 的 目的 。 这 里 不 仅 包括 敏感 数据 ,还 包 
括 协议 交换 (如 登录 顺序 .口令 )。 数 据 截取 并 不 一 定 要 从 网 络 本 身 截 取 。 通 过 在 网 络 软 
件 上 或 应 用 程序 上 安装 特洛伊 木马 ,也 能 截取 数据 并 保存 到 磁盘 上 以 备 后 用 。 


2. Linux 操作 系统 漏洞 

Linux 是 一 个 自由 、 开 放 的 操作 系统 软件 ,其 设计 目标 和 特点 导致 Linux 在 安全 方面 
存在 一 些 不 足 ,漏洞 和 后 门 。 

(1) 文件 操作 漏洞 。 

进行 管理 的 文件 操作 划分 为 读 、 写 .执行 3 种 ,其 他 操作 不 包括 在 内 。 许 多 系统 文档 
一 旦 可 写 ,就 可 以 被 任意 修改 。Linux 系统 中 有 许多 重要 文件 ,如 /bin/login, 如 果 入 侵 者 
修改 该 文件 ,那么 他 再 次 登录 时 就 不 会 遇 到 阻碍 。 

(2) 本 地 拒绝 服务 漏洞 。 

Linux kernel 4. 14. 13 及 之 前 版 本 中 的 net/rds/rdma.c 文件 的 rds_cmsg_atomic 函 
数 存 在 本 地 拒绝 服务 漏洞 .该 漏洞 源 于 程序 未 能 正确 处 理 页 面 锁定 失败 和 提供 无 效 地 址 
的 情况 。 攻 击 者 可 利用 该 漏洞 造成 拒绝 服务 ( 空 指针 逆向 引用 ) 。 

同时 ,rds_message_alloc_sgs() 参 数 也 存在 本 地 拒绝 服务 漏洞 ,该 漏洞 源 于 程序 未 能 
验证 DMA 页 面 分 配 过 程 中 使 用 的 值 。 

(3) Kernel 信息 泄漏 漏洞 。 

Linux Kernel 是 Linux 操作 系统 的 内 核 。 其 3. 3-rcl 及 更 高 版 本 在 实现 上 存在 信息 
泄漏 漏洞 ,攻击 者 可 利用 此 漏洞 绕 过 KASLR 安全 限制 。 

(4) Bash 漏洞 。 

Bash 是 用 于 控制 Linux 计算 机 命令 提示 符 的 软件 。 攻 击 者 只 要 直接 剪 切 和 粘贴 一 
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行 软件 代码 ,就 可 以 利用 Bash 漏洞 对 目标 计算 机 系统 进行 完全 控制 。 

(5) 进程 终止 后 ,其 运行 时 使 用 的 内 存 等 资源 未 能 重 置 或 清空 ,可 能 造成 泄密 。 

(6) 未 标识 的 隐蔽 存储 信道 存在 ,成 为 和 人 侵 系 统 或 截获 机 密 信息 的 薄弱 环节 。 

(7) 对 用 户 的 初始 登录 和 鉴别 ,未 能 提供 可 信 通 信 路 径 传 输 用 户 数据 ,导致 鉴别 用 户 
身份 的 数据 (如 密码 ) 泄 漏 。 

(8) 内 核 无 线 扩展 内 存 泄 漏 漏洞 。 

系统 内 核 可 以 轻易 插 和 模块。 系统 内 核 允 许 插入 模块 能 使 用 户 扩展 Linux 操作 系统 
的 功能 ,使 Linux 系统 更 加 模块 化 ,同时 这 也 是 十 分 危险 的 。 模 块 插入 内 核 后 ,就 成 为 内 
核 的 一 部 分 ,从 而 使 内 核 存在 安全 漏洞 ,允许 本 地 用 户 获得 敏感 信息 。 该 漏洞 是 由 于 无 线 
驱动 会 复制 超过 用 户 空间 所 需 的 内 核 堆 内 存 数量 到 用 户 空间 ,发 送 特殊 构建 的 
SIOCGIWESSID IOCTL 请 求 , 本 地 攻击 者 可 以 利用 漏洞 获得 内 核 敏感 信息 。 

(9) 进程 不 受 保护 。 有 些 进程 非常 重要 ,如 VJEB 服务 器 守护 进程 ,但 是 并 没有 得 到 
系统 的 严格 保护 ,容易 遭 到 破坏 。 

(10) 缺乏 有 效 的 审计 机 制 ,无 法 跟踪 记录 各 种 违规 操作 和 破坏 。 


43 操作 系统 漏洞 的 发 展 趋势 


根据 应 用 领域 ,操作 系统 可 以 分 为 桌面 操作 系统 .服务 器 操作 系统 、 移 动 操作 系统 、 主 
机 操作 系统 和 嵌入 式 操 作 系 统 等 。 根 据 CNNVD 历年 统计 数据 ,操作 系统 漏洞 多 集中 于 
前 3 类 。2016 年 ,CNNVD 新 增 操作 系统 漏洞 数量 为 2653 个 , 比 2015 年 的 1788 个 增长 
了 48.38%。Windows 系列 、Mac OS 系列 .Android、Linux、Windows Server 和 iOS 系统 
等 主流 操作 系统 漏洞 数量 占 操 作 系 统 漏洞 总 数 的 70% 以 上 。 其 中 ,Windows 系列 漏洞 数 
量 最 多 ,为 568 个 ,是 2015 年 新 增 漏洞 数量 的 3 倍 多 ;Android 操作 系统 漏洞 增 速 最 快 ， 
与 2015 年 相 比 ,2016 年 新 增 漏洞 数量 增幅 超过 500%。 

下 面 主 要 针对 近 5 年 主流 操作 系统 漏洞 数量 增长 情况 .主流 操作 系统 和 部 分 具体 版 
本 操作 系统 漏洞 分 布 情况 ,以 及 针对 主流 操作 系统 漏洞 研究 的 趋势 进行 统计 和 分 析 。 其 
中 ,桌面 操作 系统 主要 包含 Windows 系列 (Windows XP、Windows Vista、Windows 7、 
Windows 8、Windows 10 等 )、Mac OS X 和 Linux(Ubuntu、Redhat、Fedora 等 ); 服务器 
操作 系统 主要 包含 Windows Server 系列 (Windows Sever 2003、Windows Sever 2008)、 
Linux、UNIX (Solaris、 AIX、HP-UX 等 ) 和 Netware; 移动 操作 系统 主要 包含 iOS、 
Android、Windows Phone、Symbian 等 。 


1. 主流 操作 系统 漏洞 年 度 趋势 
2012 一 2016 年 主流 操作 系统 漏洞 统计 如 图 4-1 所 示 。2012 年 以 来 ,操作 系统 漏洞 整 
体 呈 上 升 趋势 。2012 年 ,操作 系统 漏洞 为 599 个 ;2013 年 跃升 至 1057 个 ,是 2012 年 的 近 
2 倍 ,2014 年 趋势 平稳 ,为 1033 个 ;2015 年 又 增 至 1788 个 ;2016 年 突 增 至 2653 个 ,达到 
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历年 来 最 大 值 。 随 着 Windows 10 的 进一步 推广 ,以 及 Mac OS X 和 iOS 在 企业 用 户 市 场 
占有 率 的 不 断 提升 ,2017 年 操作 系统 漏洞 仍 持续 增长 。 
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图 4-1 2012 一 2016 年 主流 操作 系统 漏洞 统计 


2. 主流 操作 系统 漏洞 分 布 统计 
2016 年 主流 操作 系统 漏洞 数量 统计 见 表 4-1。 


表 4-1 2016 年 主流 操作 系统 漏洞 数量 统计 


序 号 操作 系统 名 称 类 型 漏洞 数量 所 占 比 例 
1 Windows 系列 桌面 操作 系统 568 21.41% 
Mac OS 系列 桌面 操作 系统 555 20.92% 
3 Android 移动 操作 系统 512 19. 30% 
4 Linux 服务 器 操作 系统 246 9.27% 
5 Windows Server 系列 服务 器 操作 系统 175 6.60% 
6 iOS 移动 操作 系统 162 6.11% 


1) 桌面 操作 系统 方面 

Windows 7、Windows 8. 1、Windows 10、Mac OS X 是 全 球 市 场 占有 率 最 高 的 四 大 桌 
面 操作 系统 。 随 着 Windows 10 的 发 布 和 推广 ,Windows 10 系统 的 市 场 占有 率 持续 增 
长 ,对 于 Windows 操作 系统 关注 的 提升 ,导致 2016 年 Windows 漏洞 数量 大 幅 增 长 , 达 
到 568 个 , 占 主流 操作 系统 漏洞 总 量 的 21. 41% ,是 2015 年 的 3 信和 多 ;Mac OS XX 漏洞 
数量 增长 也 很 显著 ,达到 555 个 , 比 2015 年 多 了 196 个 , 占 主流 操作 系统 漏洞 总 量 的 
20.92%。 

2) 移动 操作 系统 方面 

iOS 和 Android 系统 占据 了 大 部 分 市 场 份额 ,移动 操作 系统 漏洞 主要 是 iOS 和 
Android 系统 的 漏洞 。 随 着 对 移动 操作 系统 进行 漏洞 分 析 和 挖掘 的 人 员 逐 渐 增 多 ,iOS 
和 Android 系统 的 漏洞 数量 明显 增长 ,Android 系统 漏洞 达到 512 个 ,是 2015 年 的 5 倍 
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多 , 占 主流 操作 系统 漏洞 总 量 的 19. 30% 。 

3) 服务 器 操作 系统 方面 

服务 器 操作 系统 方面 主要 由 Windows Server 系列 和 Linux 系统 主导 。2016 年 ， 
Windows Server 系列 漏洞 只 比 2015 年 增加 了 4 个 :而 Linux 系统 漏洞 数量 明显 增加 , 同 
比 增加 了 一 倍 多 。 

2012 一 2016 年 主流 品牌 操作 系统 漏洞 数量 年 度 分 布 如 图 4-2 所 示 。2012 年 ,iOS 全 
球 市 场 总 份额 大 幅 上 升 至 65% ,iOS 成 为 安全 研究 的 热点 ,被 发 现 的 iOS 漏洞 数量 也 迅 
速 增 多 ,达到 112 个 ,超过 Linux 排名 第 一 ,这 也 表明 安全 研究 人 员 开 始 关注 移动 平台 。 
2013 年 ,Linux 漏洞 数量 再 次 上 升 至 第 一 名 ,达到 179 个 , Windows 系列 和 Windows 
Sever 系列 也 分 别 上 升 至 111 个 和 108 个 ,是 2012 年 的 近 2 倍 , 而 iOS 漏洞 数量 有 所 减 
少 ,为 90 个 ,并 在 2014 年 持续 减少 。2014 年 . 除 Mac OSX.iOS 和 Android 外 ,所 有 操作 
系统 漏洞 数量 均 出 现 不 同 程度 的 减少 。2015 年 , 除 Linux 外 ,所 有 操作 系统 漏洞 数量 都 
呈现 出 明显 上 升 趋势 。2016 年 , 除 iOS 系统 漏洞 数量 明显 减少 和 Windows Server 系列 
系统 漏洞 基本 持平 外 ,所 有 操作 系统 漏洞 数量 增长 显著 。 

2012 一 2014 年 ,Windows Server 系列 和 Linux 漏洞 数量 及 波动 情况 基本 相同 ,2015 
年 ,Windows Server 系列 漏洞 数量 增多 ,是 2014 年 的 4 倍 多 ,而 Linux 的 漏洞 数量 持续 
下 降 ,达到 近年 最 低 值 101 个 。 


600 
500 
400 
300 
200 
100 
0 
2012 | 2013 | 2014 | 2015 | 2016 | 
一 一 Windows 系 列 52 110 46 169 568 | 
一 eMac 0s 系列 45 88 110 359 555 | 
一 一 Android 14 8 15 95 512 
一 Linux 106 180 140 101 246 
ios 115 90 115 375 162 
一 一 Windows Serve 藉 列 52 108 46 171 175 


图 4-2 2012 一 2016 年 主流 品牌 操作 系统 漏洞 数量 年 度 分 布 


2012 一 2016 年 各 类 操作 系统 漏洞 数量 统计 如 图 4-3 所 示 。 桌 面 操作 系统 和 移动 操 
作 系统 整体 呈 上 升 趋势 。2014 年 前 ,桌面 操作 系统 和 服务 器 操作 系统 漏洞 数量 和 波动 基 
本 相近 ,平均 数量 约 为 200 个 ,桌面 操作 系统 漏洞 数量 在 2015 年 增长 较为 明显 ,而 服务 器 
操作 系统 整体 趋势 较为 平缓 ,未 出 现 较 明 显 的 波动 ,移动 操作 系统 漏洞 和 2013 年 开始 增 
长 ,2015 年 出 现 大 幅度 的 上 升 趋势 。 可 见 ,2015 年 以 后 关注 的 重点 主要 是 桌面 操作 系统 
和 移动 操作 系统 。 
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1200 
1000 
800 
600 
400 


200 


2012 年 ”2013 年 | 2014 年 。 2015 年 | 2016 年 


一 一 桌面 操作 系统 98 196 160 528 1123 
-后 移动 操作 系统 120 100 130 470 674 
一 服务 器 操作 系统 。 160 290 180 272 421 


图 4-3 2012 一 2016 年 各 类 操作 系统 漏洞 数量 统计 


4 操作 系统 安全 扫描 


安全 扫描 技术 也 称 为 脆弱 性 评估 (vulnerability assessment) ,其 基本 原理 是 采用 模拟 
黑客 攻击 的 方式 对 目标 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检测 ,可 以 对 工作 站 、 服 务 器 、 
交换 机 ,数据 库 等 各 种 对 象 进行 安全 漏洞 检测 。 

安全 扫描 技术 主要 分 为 两 类 : 基于 主机 和 基于 网 络 的 安全 扫描 技术 。 本 节 主 要 介绍 
基于 主机 的 安全 扫描 技术 。 


1. ping 扫描 

ping 扫描 用 于 漏洞 扫描 的 第 一 阶段 ,使 用 多 数 操作 系统 自 带 的 工具 ping, 用 法 为 
ping 十 目标 IP 地 址 。 通 过 是 否 能 收 到 对 方 的 ICMPechoreply, 帮 助 识别 目标 主机 或 系统 
是 否 处 于 活动 状态 。 不 过 ,目前 部 分 主机 或 系统 为 安全 性 考虑 ,其 防火 墙 会 把 ICMP 包 屏 
蔽 掉 , 导 致 ping 扫描 失效 。 在 这 种 情况 下 ,可 以 采用 ICMPErrorSweep 方法 发 送 一 个 畸 
形 的 IP 数据 包 , 人 迫使 目标 主机 回应 一 个 ICMP 出 错 信息 包 , 判 断 目标 主机 是 否 在 线 。 


2. 操作 系统 探测 技术 

目前 ,识别 操作 系统 的 方式 有 很 多 ,但 其 原理 都 是 将 目的 主机 对 某 些 探测 数据 包 的 响 
应 和 已 知 的 操作 系统 指纹 库 进行 匹配 识别 进行 的 。 相 同 的 协议 栈 (TCP/IP) ,不 同 的 操作 
系统 实现 的 方式 不 同 ,导致 对 特定 格式 的 数据 包 有 不 同 的 响应 ,这 种 响应 差异 成 为 操作 系 
统 栈 指纹 。 首 先 , 通 过 采样 不 同 操作 系统 对 各 种 探测 数据 包 的 响应 建立 操作 系统 的 指纹 
识别 库 。 扫 描 时 ,向 目标 主机 发 送 探 测 数 据 包 ,将 其 响应 数据 包 和 指纹 数据 库 进行 匹配 ， 
从 而 识别 操作 系统 的 类 型 。 目 前 ,根据 探测 数据 包 的 构造 方式 不 同 , 比 较 流行 的 操作 系统 
探测 技术 有 以 下 3 种 。 

1) TCP/IP 协议 栈 的 指纹 探测 技术 

TCP/IP 协议 栈 的 指纹 探测 技术 是 利用 各 种 操作 系统 在 实现 TCP/IP 协议 栈 时 存在 
的 一 些 细微 差别 ,通过 探测 这 些 细微 的 差异 ,确定 目标 主机 的 操作 系统 类 型 。 主 动 协议 栈 
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指纹 技术 和 被 动 协议 栈 指纹 技术 是 目前 探测 主机 操作 系统 类 型 的 主要 方式 。 

(1) 主动 协议 栈 指 纹 技 术 。 

该 技术 主要 是 主动 且 有 目的 地 向 目标 系统 发 送 探测 数据 包 , 通 过 提取 和 分 析 响 应 数 
据 包 的 特征 信息 ,判断 目标 主机 的 操作 系统 信息 ,主要 有 Fin 探测 分 组 、 假 标志 位 探测 、 
ISN 采样 探测 .TCP 初始 化 窗口 .ICMP 信息 引用 、 服 务 类 型 以 及 TCP 选项 等 。 

(2) 被 动 协 议 栈 指纹 技术 。 

该 技术 主要 是 通过 被 动 地 捕获 远程 主机 发 送 的 数据 包 分 析 远 程 主 机 的 操作 系统 类 型 
及 版 本 信息 , 它 比 主 动 方式 更 隐秘 ,一 般 可 以 从 4 个 方面 着 手 : 生存 期 (TTL) 、 滑 动 窗口 
大 小 (WS) .分 片 允 许 位 CDF) 和 服务 类 型 (TOS) 。 捕 捉 到 一 个 数据 包 后 ,通过 综合 分 析 上 
述 4 个 要 素 ,就 能 基本 确定 一 个 操作 系统 的 类 型 。 

2) 基于 RTO 采样 的 指纹 识别 

TCP 通过 对 传输 数据 进行 确认 实现 可 靠 的 数据 传输 。 然 而 ,在 实际 网 络 环境 中 , 传 
输 的 数据 和 确认 都 可 能 发 生 丢 失 。TCP 在 传输 数据 时 会 设置 一 个 重 发 定时 器 , 当 定 时 器 
溢出 后 ,还 没有 收 到 确认 ,就 进行 数据 的 重 传 。 该 重 发 定时 器 的 时 间 间 隔 就 被 称 为 RTO 
(retransmission timeout) 。 

不 同 操作 系统 在 计算 RTO 时 使 用 的 方法 是 不 同 的 。 因 此 ,可 以 利用 这 一 点 实现 对 
远程 主机 操作 系统 的 探测 。 首 先 ,向 目标 主机 选 定 的 开放 端口 发 送 TCP SYN 包 ; 然 后 ， 
使 用 堵塞 模块 阻止 目标 端口 响应 的 SYN/ACK 包 到 达 扫 描 主机 ,迫使 目标 主机 不 断 超时 
重 发 SYN/ACK 包 , 得 到 每 次 的 超时 重 传 时 间 , 再 和 数据 库 中 的 特征 进行 匹配 ,计算 识别 
出 操作 系统 类 型 。 

该 方法 的 优点 是 : 只 得 到 目标 主机 的 一 个 开放 的 端口 ,就 可 以 对 操作 系统 进行 准确 
识别 。 同 时 ,不 会 在 网 络 中 产生 较 多 畸形 的 数据 包 , 不 会 对 目标 主机 产生 较 多 不 良 影响 。 
但 是 ,由 于 需要 等 待 目标 主机 的 大 量 超时 重 传 ,所 以 会 花费 较 多 的 扫描 时 间 。 

3) 基于 ICMP 响应 的 指纹 辨识 

ICMP 是 TCP/IP 协议 族 的 一 个 子 协议 ,用 于 在 主机 与 路 由 器 之 间 传 递 控制 信息 , 包 
括 报告 错误 、 交 换 受 限 控制 和 状态 信息 等 。 当 遇 到 IP 数据 无 法 访问 目标 、IP 路 由 器 无 法 
按 当 前 的 传输 速率 转发 数据 包 等 情况 时 ,会 自动 发 送 ICMP 消息 。 

ICMP 报 文 总 体 上 分 为 两 种 : ICMP 查询 报 文 和 ICMP 差错 报 文 。 利 用 ICMP 进行 
操作 系统 探测 的 方式 主要 有 两 种 : 一 种 是 可 以 向 目标 主机 发 送 多 种 类 型 的 查询 报 文 捕获 
响应 数据 包 进 行 分 析 ; 另 一 种 是 TCP/IP 数据 包 使 目标 主机 触发 差错 报 文 ,从 响应 的 差 
别 中 对 操作 系统 进行 辨识 。 由 于 只 发 送 ICMP 数据 包 , 所 以 基于 ICMP 响应 的 指纹 识别 
算法 速度 很 快 ,并 且 不 会 对 目标 主机 产生 不 良 影响 。 另 外 ,由 于 匹配 算法 得 以 改进 ,操作 
系统 签名 数据 库容 易 建 立 和 更 新 。 但 是 ,这 种 方法 的 缺点 是 探测 技术 单一 ,只 依赖 一 种 类 
型 的 数据 包 , 稳 定性 不 足 , 难 以 进行 技术 上 的 更 新 。 

3. 端口 扫描 技术 

一 个 开放 的 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 的 通道 。 对 目标 计算 机 
进行 端口 扫描 ,可 以 得 到 许多 有 用 的 信息 ,如 开放 端口 以 及 其 提供 的 服务 等 。 端 口 扫描 是 
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向 目标 主机 的 TCP 或 UDP 端口 发 送 探 测 数据 包 , 记 录 目 标 主 机 的 响应 ,然后 通过 分 析 响 
应 数据 包 判 断 端 口 是 否 开放 以 及 所 提供 的 服务 或 信息 ,有 助 于 主机 安全 隐患 的 发 现 。 它 
为 系统 用 户 管理 网 络 提供 了 一 种 手段 ,同时 也 为 网 络 攻 击 提供 了 必要 的 信息 。 端 口 扫 描 
的 分 类 如 图 4-4 所 示 。 


端口 扫描 方法 


开放 式 || SYN FIN || NULL || Xmas || UDP || IP 分 段 || 乱 序 
扫描 || 扫描 扫描 扫描 || 扫描 扫描 扫描 || 扫描 


图 4-4 端口 扫描 的 分 类 


1) 全 TCP 扫描 

扫描 主机 调用 网 络 API 函数 connect() 向 目标 主机 发 起 连接 ,根据 connect() 连 接 情 
况 的 返回 值 判断 目标 主机 监听 端口 的 开放 情况 。 若 目标 主机 接受 扫描 主机 的 连接 请 求 ， 
则 监听 端口 处 于 开放 状态 ;车 目标 主机 拒绝 扫描 主机 的 连接 请 求 , 则 监听 端口 处 于 关闭 状 
态 。 该 方法 的 方便 之 处 在 于 不 需要 超级 用 户 权限 ,任何 希望 管理 端口 服务 的 人 员 都 可 以 
使 用 ,但 它 通常 会 在 目标 主机 上 留 下 扫描 记录 , 易 被 管理 员 发 现 。 

2) 半 打 开 式 扫描 (SYN 扫描 ) 

扫描 程序 向 目标 主机 端口 发 送 一 个 SYN 数据 包 , 一 个 SYN/ACK 的 返回 信息 表示 
端口 处 于 监听 状态 ,而 一 个 RST 的 返回 信息 则 表示 端口 处 于 关闭 状态 。 由 于 它 建立 的 是 
不 完全 连接 ,所 以 大 大 降低 了 被 目标 计算 机 记录 的 可 能 性 ,并 且 加 快 了 扫描 的 速度 ,但 构 
造 SYN 数据 包 必须 要 有 超级 用 户 权 限 。 半 打开 式 扫 描 原理 如 图 4-5 所 示 。 


扫描 主机 目标 主机 扫描 主机 目标 主机 
SYN 数 据 包 SYN 数 据 包 
SYN/ACK 数 据 包 RST 数 据 包 
端口 开放 端口 关闭 


图 4-5 半 打 开 式 扫描 原理 


3) 秘密 扫描 
根据 发 送 探测 数据 包 的 不 同 ,秘密 扫描 又 被 分 为 TCP FIN 扫描 、TCP Null 扫描 、 
TCP Xmas 扫描 ,TCP ACK 扫描 、TCP SYN/ACK 扫描 等 。 在 TCP FIN 扫描 中 ,扫描 主 
机 发 送 的 数据 包 中 的 FIN 位 被 置 位 , 若 目标 端口 是 打开 的 , 则 探测 数据 包 被 简单 丢掉 ( 因 
为 ,此 数据 包 不 是 建立 正常 TCP 连接 的 三 次 握手 所 使 用 的 数据 包 , 对 端口 而 言 没 有 意 
义 ) ,反之 ,探测 数据 包 被 丢掉 ,同时 返回 RST 数据 包 。 其 他 几 种 秘密 扫描 技术 的 原理 基 
本 相似 。 
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4) UDP ICMP 不 可 达 扫 描 

事实 上 ,互联 网 上 运行 在 UDP 端口 上 的 服务 也 有 很 多 。UDP ICMP 扫描 向 UDP 端 
口 发 送 UDP 探测 包 , 若 目标 端口 是 关闭 的 , 则 返回 ICMP 端口 不 可 达 数 据 包 。 若 经 过 多 
次 重 发 ,扫描 主机 仍然 没有 收 到 目标 端口 响应 数据 包 , 则 说 明 目 标 端口 很 可 能 是 开放 的 
(通常 ,开放 的 UDP 端口 对 UDP 探测 数据 包 不 做 任何 响应 )。 但 是 ,因为 UDP 是 非 连 接 
的 ,数据 传输 的 不 可 靠 性 更 大 ,经 常 需要 重 传 数据 包 , 所 以 会 影响 扫描 的 速度 和 准确 性 。 


4.5 操作 系统 的 漏洞 防护 


如 果 操 作 系 统 漏洞 被 恶意 的 攻击 者 利用 ,就 会 造成 信息 泄漏 ,系统 的 安全 性 、 可 用 性 
就 会 遭 到 破坏 。 漏 洞 使 系统 非常 危险 ,可 以 使 攻击 者 或 病毒 很 容易 取得 系统 最 高 权限 , 然 
后 对 被 控制 者 进行 各 种 破坏 ,让 系统 无 法 正常 工作 ,甚至 对 一 些 分 区 进行 格式 化 操作 , 盗 
取 用 户 的 各 种 账号 密码 等 。 利 用 从 网 上 下 载 的 公开 代码 对 未 打 补 丁 的 系统 进行 攻击 。 所 
以 ,为 了 防止 各 种 攻击 ,必须 对 系统 进行 安全 设置 。 操 作 系统 的 安全 设置 是 整个 操作 系统 
安全 策略 的 核心 ,其 目的 是 从 系统 根源 构筑 安全 防护 体系 ,通过 用 户 和 密码 管理 .共享 设 
置 .端口 管理 和 过 滤 .系统 服务 管理 ,本 地 安全 策略 ` 外 部 工具 使 用 等 手段 ,形成 一 整套 有 
效 的 系统 安全 策略 。 


4.5.1 Windows 系统 的 漏洞 防护 


1. 更 新 补丁 

操作 系统 都 存在 漏洞 ,要 想 保障 系统 的 安全 ,必须 及 时 更 新 补丁 。 经 常 给 计算 机 打 补 
丁 是 保护 计算 机 中 数据 的 一 个 好 习惯 ,很 多 病毒 都 是 通过 Windows 操作 系统 的 漏洞 进行 
攻击 ,从 而 破坏 计算 机 中 的 正常 使 用 ,给 用 户 造成 不 可 估量 的 损失 。 补 丁 是 修复 瑕 盖 以 及 
安全 漏洞 的 一 个 有 效 措施 。 


2. 设置 系统 盘 格式 为 NTFS 

安装 Windows 时 ,应 选择 自 定义 安装 , 仅 选 择 必需 的 系统 组 件 和 服务 。 选 择 
Windows 文件 系统 时 ,应 选择 NTFS 文件 系统 ,充分 利用 NTFS 文件 系统 的 安全 性 。 
NTEFS 格式 比 FAT/FAT32 格式 安全 得 多 ,FAT/FAT32 较 NTFS 格式 缺少 了 安全 控制 
功能 ,不 能 对 不 同 的 文件 夹 设置 不 同 的 访问 权限 ,使 系统 失去 访问 保护 措施 。 

NTFS 文件 系统 可 以 将 每 个 用 户 允 许 读 写 的 文件 限制 在 磁盘 目录 下 的 任何 一 个 文件 
夹 内 。 右 击 文件 夹 , 选 择 “ 属 性 ”, 在 文件 夹 属性 的 “安全 ”标签 里 设置 哪些 用 户 可 以 访问 ， 
以 及 访问 的 用 户 或 用 户 组 的 权限 。 


3. 加 强 用 户 账号 和 密码 管理 
由 于 系统 安装 后 就 存在 Administrator 超级 用 户 ,而 且 是 没有 密码 的 ,很 多 用 户 都 没 
有 或 者 根本 不 知道 为 其 设置 密码 ,因此 入 侵 者 就 可 以 利用 这 一 点 ,使 用 超级 用 户 登 录 对 方 
计算 机 ,而 且 连 密码 都 不 需要 。 因 此 ,首先 要 禁用 Guest 账号 ,将 Guest 来 宾 账 户 禁 用 , 同 
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时 将 Administrator 用 户 名 称 进行 更 改 并 设置 密码 ,使 用 安全 密码 ,并 要 注意 经 常 更 改 密 
码 , 密 码 长 度 一 般 为 10 位 左右 ,并 且 要 包含 字母 .数字 和 特殊 符号 。 平 时 要 使 用 屏幕 保护 
密码 。 


4. 充分 使 用 安全 策略 功能 
Windows 操作 系统 对 系统 的 安全 性 做 了 很 多 设置 ,但 是 在 系统 安装 初期 ,有 些 设置 
的 默认 值 常 常 被 攻击 者 利用 ,所 以 对 系统 进行 安全 策略 的 设置 是 系统 加 固 的 必要 步 又。 


5. 关闭 不 必要 的 服务 

为 了 方便 用 户 ,Windows 操作 系统 对 用 户 提供 了 非常 丰富 的 功能 ,但 是 对 于 很 多 非 
专业 的 个 人 用 户 而 言 ,很 多 功能 和 服务 是 不 需要 的 .但 是 这 些 功 能 和 服务 却 打 开 了 入 侵 系 
统 的 后 门 。 因 此 ,根据 自己 系统 的 需要 ,把 无 须 使 用 和 有 人 危险 性 的 服务 都 关闭 ,可 降低 计 
算 机 被 攻击 的 可 能 性 。 

除非 特别 需要 ,否则 一 般 情况 下 需要 禁用 以 下 服务 : Alert、 Clipbook、Computer 
Browse .DHCP Client, Messenger, Netlogon、 Network DDE、 TCP/IP NetBIOS Helper 
Service、Workststion 等 。 

Messenger: 信使 服务 。 此 服务 可 以 自动 接收 从 网 络 上 传 来 的 信息 。 建 议 停 止 服务 ， 
并 将 启动 类 型 改 为 手动 。 

Netlogon: 此 服务 用 于 在 局 域 网 上 验证 登录 信息 的 选项 、 登 录 域名 控制 。 建 议 停止 
服务 ,并 将 启动 类 型 改 为 手动 。 

TCP/IP NetBIOS Helper Service: 在 TCP/IP 上 提供 NetBIOS 支持 ,会 被 局 域 网 中 
被 感染 病毒 的 计算 机 或 攻击 者 利用 。 建 议 停止 服务 ,并 将 启动 类 型 改 为 已 禁用 。 


6. 端口 的 管理 和 过 滤 

端口 是 计算 机 的 第 一 道 屏障 ,端口 配置 是 否 合理 直接 影响 到 计算 机 的 安全 ,用 端口 扫 
描 器 扫描 系统 开放 的 端口 ,可 以 发 现 开 放 的 某 些 不 必要 的 端口 是 黑客 入 侵 系统 的 首要 通 
道 ,许多 网 络 蠕虫 病毒 也 是 利用 一 些 不 必要 的 端口 进行 传播 的 。 

端口 是 网 络 数据 交换 的 出 入 口 ,做 好 端口 的 管理 和 过 滤 ,对 系统 的 安全 性 有 极为 重要 
的 帮助 。 但 是 ,如 果 对 端口 了 解 不 充分 ,不 要 轻易 进行 过 滤 ,不 然 可 能 会 导致 一 些 程序 无 
法 使 用 。 


7. 禁止 空 连接 

Windows 的 默认 安装 允许 任何 用 户 通过 空 用 户 得 到 系统 的 所 有 账号 和 共享 列表 , 任 
何 一 个 远程 用 户 都 可 以 通过 此 方法 得 到 目标 主机 的 用 户 列表 ,并 破坏 网 络 。 因 此 ,需要 通 
过 修改 注册 表 禁 止 空 连接 。 


8. 关闭 默认 共享 
Windows 安装 好 以 后 ,系统 会 创建 一 些 隐藏 的 共享 ,通过 “计算 机 名 或 IP 地 址 、 盘 
符 ” 可 以 访问 ,这 为 系统 攻击 者 提供 了 便利 的 途径 。 可 以 通过 修改 注册 表 彻底 禁止 这 些 
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9. 安装 必要 的 防护 软件 

任何 一 个 操作 系统 都 不 可 能 做 到 防御 所 有 攻击 。 在 做 好 操作 系统 自身 安全 防护 的 前 
提 下 ,安装 必要 的 防护 软件 是 对 系统 安全 的 重要 保障 。 为 系统 安装 高 性 能 的 杀毒 软件 和 
木马 查 杀 软件 是 必要 的 ,同时 一 定 要 注意 及 时 更 新 病毒 库 , 保 证 对 最 新 的 病毒 和 木马 的 查 
杀 能 力 。 另 外 ,安装 网 络 防火 墙 也 是 一 种 很 好 的 防护 举措 。 打 开 防火 墙 后 ,计算 机 将 不 响 
应 ping 命令 ,并 禁止 外 部 程序 对 本 机 进行 端口 扫描 ,另外 还 会 自动 记录 所 有 发 出 或 收 到 
的 数据 包 的 IP 地 址 、 端 口号 .服务 以 及 其 他 一 些 信息 ,可 以 有 效 地 减少 外 部 攻击 的 威胁 。 


4.5.2 其 他 常见 系统 的 漏洞 防护 


1. UNIX 操 作 系统 的 漏洞 防护 

(1) 超级 用 户 问 题 及 对 策 。 

UNIX 系统 中 包含 了 一 系列 的 合法 用 户 ( 超 级 用 户 、 系 统 默认 用 户 和 普通 用 户 ), 每 个 
用 户 账号 的 有 关 信 息 记 载 于 /etc/passwd 和 /etc/shadow 文件 中 。 所 有 账号 中 最 重要 的 
账号 就 是 超级 用 户 root。 超 级 用 户 能 控制 整个 UNIX 系统 资源 ,几乎 所 有 的 安全 控制 都 
可 以 被 超级 用 户 运行 的 程序 绕 过 ,并 且 大 多 数 审核 和 警告 都 被 关闭 , 正 因为 超级 用 户 处 在 
权力 大 ,监督 少 的 环境 中 ,一 旦 有 人 取得 超级 用 户 特权 后 ,系统 就 会 受到 很 大 的 威胁 。 因 
此 ,超级 用 户 应 注意 以 下 两 点 。 

Q@ 不 同 的 工作 在 不 同 用 户 下 进行 。 

系统 管理 员 只 在 系统 维护 时 进入 超级 用 户 ,操作 完毕 后 应 及 时 从 该 用 户 中 退出 。 系 
统管 理 员 除 拥有 root 账户 外 ,还 应 有 一 个 普通 工作 账号 ,系统 维护 以 外 的 工作 应 在 普通 
用 户 状 态 下 完成 ,以 免 一 些 不 经 意 的 事务 损害 系统 。 

@ 限制 root 账号 的 登录 点 (终端 ) 。 

限制 超级 用 户 的 注册 ,用 户 只 有 在 主 控 台 上 才能 从 login: 状 态 用 root 登录 。 其 他 
终端 必须 先进 入 普通 用 户 , 然 后 从 普通 用 户 中 用 $ su 命令 进入 超级 用 户 , 以 便 系统 
跟踪 。 

(2) 文件 读 写 权 限 。 

文件 读 写 权 限 是 UNIX 系统 中 控制 用 户 使 用 文件 的 一 个 基本 方法 ,拥有 不 同 存 取 权 
的 用 户 可 以 对 文件 做 不 同 的 操作 。 如 果 文 件 授权 设置 不 当 , 可 能 引起 系统 安全 问题 。 文 
件 授权 要 注意 以 下 两 点 。 

O@ 正确 理解 授权 类 型 对 用 户 的 制约 。 

@ 授予 不 同 用 户 组 .不 同 用 户 合适 的 权限 。 

(3) 保护 下 面 的 系统 命令 和 系统 配置 文件 ,以 防止 人 侵 者 替换 ,从 而 获得 修改 系统 的 
权利 。 

GD /bin/ login。 

@ /usr/ etc/ in. < 文件 (如 in. telnetd) 。 

@@ inetd 超级 守护 进程 (监听 端口 等待 请 求 , 派 生 相 应 服务 器 进程 ) 唤 醒 的 服务 。 

田 不 允许 root 用 户 使 用 netstat、ps \ifconfig su。 
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(4) 系统 管理 员 定 期 观察 系统 的 变化 。 

@ #1s -lac 查看 文件 真正 的 修改 时 间 。 

@ #cmp filel file2 比较 文件 大 小 的 变化 。 

(5) 严格 账号 管理 。 

系统 中 的 每 一 个 账号 (root、 系 统 默 认 账 号 和 普通 用 户 账号 ) 都 是 一 个 通 往外 界 的 门 。 
如 果 账 号 管理 不 严格 ,入 侵 者 就 可 以 从 这 些 用 户 账号 进入 UNIX 系统 。 

账号 管理 中 要 注意 的 问题 主要 有 以 下 4 个 方面 。 

@ 禁止 没有 口令 的 账号 。 

@ 限制 用 户 账号 的 登录 终端 ,防止 其 他 人 从 网 络 上 用 该 账号 登录 系统 。 

@ 利用 系统 管理 工具 scoadmin 锁 住 多 次 注册 不 成 功 的 账号 。 

@ 退出 系统 中 长 时 间 不 工作 的 用 户 。 

(6) 加 强 对 终端 端口 限制 管理 。 

QO 增加 端口 口令 ,限制 远程 登录 。 远 程 登 录 包 括 通过 MODEM 拨号 .DDN 专线 访 
问 服务 器 和 通过 终端 服务 器 ,集线器 等 登录 到 系统 。 通 常 登录 的 端口 是 不 固定 的 。 因 此 ， 
必须 先 执 行 固定 通信 服务 器 端口 设置 程序 ,此 程序 由 通信 服务 器 生产 厂家 随 产 品 一 起 提 
供 。 通 过 在 这 些 设备 端口 上 增加 拨 入 口令 限制 远程 登录 。 

@ 限定 用 户 在 指定 的 端口 和 规定 的 时 间 内 登录 。 出 于 安全 考虑 ,往往 要 求 某 些 端口 
只 能 让 某 些 用 户 在 指定 时 间 内 注册 . 当 用 户 注 册 登 录 到 UNIX 操作 系统 时 ,必须 执行 系 
统 文件 / etc/profile, 对 这 一 文件 进行 修改 ,让 系统 读 取 用 户 名 、 端 口 名 、 每 周 工作 日 期 .每 
天 上 班 时 间 、 每 天 下 班 时 间 。 然 后 依 此 文件 审查 用 户 注册 登录 合法 性 ,端口 名 不 在 此 文件 
中 不 受 限制 ,端口 名 在 此 文件 中 但 用 户 名 不 正确 不 许 登 录 , 用 户 名 和 端口 名 皆 正 确 但 工作 
时 间 不 在 规定 范围 内 不 许 登 录 。 

@ 用 户 注册 登录 时 立即 运行 业务 处 理 程序 ,退出 业务 处 理 程 序 时 也 退出 /bin/ sh。 
用 户 注册 登录 时 系统 访问 了 用 户 根 目录 下 的 $ HOME/. profile, 为 了 使 用 户 合法 注册 登 
录 后 即 进入 运行 业务 处 理 程序 ,处 理 完 成 退出 业务 处 理 程序 的 同时 退出 注册 登录 状态 ,可 
以 对 $ HOME/. profile 做 以 下 修改 。 

@ 以 用 户 名 注册 登录 。 

@ 在 $ HOME/. profile 文件 最 后 加 入 两 行 命令 : 


sh 业务 处 理 程序 启动 文件 名 

民主 起 

@ 当 用 户 退 出 业务 处 理 程序 时 ,也 退 至 login: 状态 。 

(7) 确认 系统 中 有 最 新 的 sendmail 守护 程序 ,因为 旧版 本 的 sendmail 守护 程序 允许 

其 他 UNIX 用 户 远 程 运 行 一 些 非法 的 命令 。 

(8) 系统 管理 员 应 能 从 用 户 的 计算 机 操作 系统 生产 商 那 里 获得 安全 补丁 程序 。 

2. Linux 操 作 系 统 的 漏洞 防护 

1) 用 户 管 理 与 口令 管理 

用 户 管理 指 对 用 户 访问 系统 资源 进行 控制 ,允许 或 禁止 其 访问 某 些 资 源 。 用 户 对 资 
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源 的 访问 ,主要 是 指 访问 某 些 目录 文件 ,运行 某 些 程序 。 这 可 用 权限 管理 的 办 法 解决 ,不 
过 限制 的 是 普通 用 户 ,而 非 超级 用 户 。 这 里 提出 如 下 设置 原则 。 

@ 有 关系 统 安全 .设置 方面 的 文件 /目录 ,除非 必要 ,一般 不 让 普通 用 户 访问 。 

@ 普通 用 户 自己 的 文件 /目录 应 根据 实际 情况 设置 : 一 般 情 况 下 ,重要 的 只 让 自身 
访问 ,共享 的 可 让 其 他 人 有 一 定 程度 的 访问 权限 ,如 只 能 读 不 能 写 、 只 能 执行 等 。 

Q@ 设置 用 户 创 建文 件 / 目 录 时 的 初始 权限 。 

@ 每 个 用 户 都 应 有 自己 的 工作 目录 ,不 要 互相 混用 ,以 免 出 现 混淆 。 

口令 更 是 保密 的 关键 。 每 个 用 户 都 有 自己 的 口令 ,应 该 绝对 保密 ,否则 一 旦 泄漏 , 尤 
其 是 超级 用 户 ,会 对 系统 构成 严重 威胁 。 破 获 超级 用 户口 令 的 人 可 以 对 系统 做 任何 操作 ， 
而 不 受 限制 。 由 此 可 见 , 加 强 口 令 的 管理 尤其 重要 。 因 此 ,尽量 做 到 . 定期 更 换 口令 ;不 
要 使 用 弱 口 令 ; 键 入 口令 时 ,注意 周围 环境 ;尽量 不 向 他 人 泄漏 口令 。 

2) 系统 的 安全 管理 工作 

谨慎 设置 Linux 的 各 项 系统 功能 ,并 且 加 上 必要 的 安全 措施 ,主要 由 超级 用 户 完成 。 
从 安全 使 用 与 管理 的 角度 说 ,主要 是 指 限 制 或 允许 哪些 用 户 .哪些 主机 可 以 访问 本 系统 的 
资源 。 目 的 是 为 了 防止 非 授 权 的 访问 ,以 提高 安全 性 。 这 方面 的 方法 有 很 多 ,如 删除 非法 
用 户 , 限 制 可 疑 用 户 登 录 , 限 制 网 上 其 他 主机 的 访问 等 。 一 般 来 说 ,对 Linux 系统 的 安全 
设 定 包括 取消 不 必要 的 服务 ,限制 远程 存 取 ,隐藏 重要 资料 ,修补 安全 漏洞 .采用 安全 工具 
以 及 经 常 性 的 安全 检查 等 。 

(1) 限制 重要 目录 和 文件 的 权限 。 

对 Linux 操作 系统 的 关键 目录 及 文件 进行 权限 限制 ,对 etc、bin、dev、sbin 等 关键 目 
录取 消 普通 用 户 读 写 权限 ,对 /etc/passwd、/etc/inetd. conf、/etc/services 等 关键 文件 设 
置 不 可 修改 属性 ,防止 未 经 许可 添加 或 者 删除 用 户 或 服务 。 对 普通 用 户 的 home 目录 权 
限 分 开 管理 ,避免 没有 授权 的 访问 ,防止 旁 注 攻击 。 

(2) 关闭 非 必 要 的 网 络 服务 。 

编辑 /etc/rc. d 目录 下 相应 启动 级 别 的 服务 启动 文件 ,关闭 多 余 服 务 。 或 者 通过 
chkconfig 命令 对 系统 服务 进行 配置 , 仅 开 放 业 务 应 用 系统 需要 对 外 开放 的 网 络 服务 。 如 
无 实际 业务 需要 ,可 关闭 isdn .portmap sendmail ,nefts .vsftp 等 默认 开启 的 不 安全 的 系 
统 服务 。 

3) 及 时 下 载 补 丁 与 更 新 内 核 

在 Internet 上 常常 有 最 新 的 安全 修补 程序 ,Linux 系统 管理 员 应 该 消息 灵通 ,经 常 光 
顾 安全 新 闻 组 ,查阅 新 的 修补 程序 。 一 般 情况 下 ,用户 可 以 通过 Linux 的 一 些 权威 网 站 和 
论坛 尽快 获取 有 关 该 系统 的 一 些 新 技术 以 及 一 些 新 的 系统 漏洞 的 信息 ,做 到 防 患 于 未 然 ， 
及 时 更 新 系统 的 最 新 内 核 以 及 打上 安全 补丁 ,这 样 能 较 好 地 保证 Linux 系统 的 安全 。 

内 核 是 Linux 操作 系统 的 核心 , 它 常 驻 内 存 , 用 于 加 载 操 作 系 统 的 其 他 部 分 ,并 实现 
操作 系统 的 基本 功能 。 由 于 内 核 控制 计算 机 和 网 络 的 各 种 功能 ,因此 , 它 的 安全 性 对 整个 
系统 安全 至 关 重 要 。 

4) 完整 的 日 志 管 理 

日 志文 件 时 刻 记录 着 系统 的 运行 情况 .因此 要 限制 对 日 志文 件 的 访问 ,禁止 一 般 权限 
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的 用 户 查看 日 志文 件 。 另 外 ,还 可 以 创建 一 台 服 务 器 专门 存放 日 志文 件 ,通过 检查 日 志 可 
发 现存 在 的 安全 问题 。 

5) 增强 openssh 服务 安全 配置 

通常 使 用 的 网 络 传输 程序 FTP 和 Telent 非常 不 安全 ,因为 它们 在 网 络 上 用 明文 传 
送 口 令 和 数据 ,黑客 利用 嗅 探 器 非常 容易 截获 这 些 口令 和 数据 。 而 Openssh 是 Linux 操 
作 系 统 主流 的 远程 登录 软件 ,系统 管理 员 通 过 ssh 协议 远程 登录 主机 ,对 系统 进行 维护 和 
配置 ,因此 对 该 服务 的 安全 管控 至 关 重 要 。 通 过 编辑 配置 文件 /etc/ssh/sshd_config, 可 
以 修改 ssh 协议 的 默认 使 用 端口 为 其 他 自 定义 端口 ,禁用 超级 用 户 root 远程 登录 ,并 设 
置 口令 最 大 尝试 次 数 ,防止 暴力 破解 用 户口 令 。 

6) 增强 安全 防护 工具 

系统 自身 的 增强 毕 竞 存在 很 大 的 局 限 性 ,因此 ,增强 安全 防护 工具 尤为 重要 。Linux 
系统 主机 多 采用 安全 过 (Secure Shell,SSH) 方 式 以 及 公开 密 钥 技 术 对 网 络 上 两 台 主 机 之 
间 的 通信 信息 进行 加 密 , 并 且 用 其 密 钥 充当 身份 验证 的 工具 ,因此 可 以 安全 地 被 用 来 取代 
rlogin rsh 和 rcp 等 公用 程序 的 一 套 程序 组 。 由 于 SSH 将 网 络 上 的 信息 加 密 , 因 此 它 可 
用 来 安全 地 登录 到 远程 主机 上 ,并 且 在 两 台 主 机 之 间 安 全 地 传送 信息 。 实 际 上 ,SSH 不 
仅 可 以 保障 Linux 主机 之 间 的 安全 通信 ,Windows 用 户 也 可 以 通过 SSH 安全 地 连接 到 
Linux 服务 器 上 。 


思 考题 


. 请 概述 操作 系统 的 定义 。 

. 操作 系统 常见 的 漏洞 有 哪些 ? 

. 为 什么 要 对 操作 系统 进行 安全 扫描 ? 
. 请 简 述 操作 系统 安全 扫描 的 方法 。 

.如 何 防护 操作 系统 ? 


中 


与 防护 


小 
性 


数据 库 系统 漏洞 及 其 
防范 措施 


本 章 将 重点 介绍 数据 库 系 统 的 漏洞 以 及 其 防范 措施 ,包括 常见 的 数据 库 漏洞 类 型 和 
漏洞 成 因 ,数据 库 漏洞 扫描 的 方法 和 技术 ,以 及 数据 库 漏 洞 的 处 理 方式 和 安全 防护 体系 。 


5.1 数据 库 常见 漏洞 


5.1.1 数据 库 漏洞 类 型 


数据 库 软 件 常常 十 分 复杂 ,包含 了 大 量 的 逻辑 ,数据 库 设计 开发 人 员 在 设计 和 开发 这 
些 逻 辑 的 过 程 中 难免 出 现 政 忽 或 遗漏 ,导致 数据 库存 在 大 量 的 安全 漏洞 ,使 得 攻击 者 能 够 
成 功 攻陷 数据 库 。 典 型 的 数据 库 人 侵 方 式 有 数据 库 端 SQL 注入 、 提 权 、 缓 冲 区 溢出 等 。 

本 文 所 说 的 数据 库 漏 洞 范围 相对 较 窗 , 只 涉及 数据 库 本 身 的 漏洞 ,不 涉及 应 用 和 数据 
库 之 间 的 安全 漏洞 。 该 范围 内 的 数据 库 漏 洞 可 以 划分 为 两 类 : 数据 库 软 件 漏洞 和 应 用 程 
序 迎 辑 漏洞 。 其 中 ,应 用 程序 逻辑 漏洞 虽然 出 现在 应 用 程序 上 ,但 最 终 人 侵 的 是 数据 库 ， 
SQL 注入 就 是 此 类 漏洞 的 代表 。 

数据 库 软 件 主要 包含 3 个 主要 组 件 : 网 络 监听 组 件 、 关 系 型 数据 库 管理 系统 和 SQL 
编程 组 件 。 网 络 监 听 组 件 一 般 是 数据 库 通信 的 中 心 ,其 不 仅 负责 接收 网 络 请 求 , 还 要 进行 
数据 库 访 客 身份 的 验证 。 关 系 型 数据 库 管理 系统 主要 用 来 保障 整个 数据 库 能 够 高 效 、 有 
序 地 运行 。SQL 编程 组 件 主 要 带 给 数据 库 一 定 的 SQL 扩展 能 力 ,如 Oracle 的 PL/SQL。 
PL/SQL 是 把 数据 操作 和 查询 语句 组 织 在 PL/SQL 代码 的 过 程 性 单元 中 ,通过 逻辑 判 
断 .循环 等 操作 实现 复杂 的 功能 或 者 计算 的 程序 语言 ,该 编程 组 件 可 以 实现 存储 过 程 、 创 
建 自 定义 函数 .实现 触发 器 和 以 外 部 库 的 方式 调用 C 和 Java 函数 等 功能 。 

这 3 个 组 件 是 数据 库 的 核心 ,同时 也 是 数据 库 最 易 受 到 安全 威胁 的 部 分 。 根 据 数据 
库 被 入 侵 的 方式 来 分 ,可 以 将 数据 库 漏 洞 分 为 以 下 4 种。 


1. 网 络 攻击 的 安全 问题 

网 络 监听 组 件 不 仅 定 义 了 数据 库 和 客户 端 之 间 的 通信 协议 ,更 负责 对 客户 端 进行 身 
份 验证 (确认 客户 端 用 于 通信 的 用 户 名 和 密码 是 否 合法 ) 。 所 有 数据 库 平台 都 包含 至 少 一 
个 网 络 监听 组 件 , 该 组 件 可 以 是 一 个 独立 的 可 执行 文件 (如 Oracle) ,也 可 以 是 主 数据 库 引 
擎 进程 的 一 部 分 (如 微软 的 SQL Server)。 网 络 监听 组 件 的 漏洞 主要 包括 以 下 3 类 。 
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网 络 监听 组 件 被 触发 缓冲 区 重 写 ,导致 数据 库 服 务 器 无 法 响应 客户 端 ,造成 双方 通信 
失败 。 简 单 说 ,就 是 使 网 络 监听 组 件 崩 演 , 漏 洞 CVE-2007-5507 就 是 这 种 类 型 的 代表 。 

绕 过 网 络 监听 组 件 身份 验证 ,获得 合法 数据 库 账 号 和 密码 。 这 个 类 型 主要 有 3 种 方 
式 ; 其 一 ,通过 劫持 网 络 监 听 组 件 信息 ,把 数据 库 的 登录 信息 劫持 到 攻击 者 机 器 ,获取 敏 
感 信息 ,甚至 获取 数据 库 管 理 员 账号 密码 ;其 二 ,直接 对 在 网 络 监听 组 件 中 加 密 的 数据 库 
登录 密 钥 进 行 破解 ;其 三 ,在 远程 登录 过 程 中 对 数据 库 服 务 器 进行 SQL 注入 ,利用 某 些 特 
殊 函 数 创建 新 的 数据 库 账 号 ,并 为 新 账号 创建 DBA 权限 。 

通过 向 网 络 监听 组 件 发 送 含 有 异常 数据 的 包 ,触发 缓冲 区 溢出 ,夺取 数据 库 所 在 操作 
系统 控制 权限 。 

另外 ,数据 库 的 网 络 监 听 组 件 被 攻击 的 可 能 性 与 其 协议 的 复杂 性 成 正比 ,通信 协议 越 
复杂 ,被 攻击 的 可 能 性 越 高 。TNS Listener 是 Oracle 的 网 络 监听 组 件 ,截至 目前 已 被 发 
现 至 少 有 20 个 漏洞 , 且 其 带 来 的 危害 都 比较 大 ,如 CVE-2002-0965、CVE-2002-0965、 
CVE-2007-5507 .CVE-2012-0072 都 是 可 以 直接 夺取 操作 系统 权限 的 缓冲 区 漏洞 。 


2. 数据 库 引 擎 的 安全 问题 

数据 库 引 擎 填 括 了 能 够 保证 数据 库 高 效 平稳 运行 所 需 的 多 种 不 同 处 理 逻 辑 和 过 程 ， 
复杂 度 很 高 ;同时 , 它 还 包含 了 实现 与 用 户 交互 的 大 量 部 件 ,包括 语法 分 析 器 和 优化 器 ,以 
及 可 以 让 用 户 创建 程序 在 数据 库 内 部 执行 的 运行 环境 。 由 于 设计 的 逻辑 过 于 复杂 ,程序 
中 出 现 的 设计 错误 往往 会 成 为 安全 漏洞 , 且 易 被 人 侵 者 利用 。 从 恰当 的 授权 验证 到 允许 
攻击 者 获取 数据 库 所 有 控制 权 的 缓冲 区 溢出 ,这 类 程序 设计 错误 难以 避免 。 

其 中 较 有 代表 性 的 是 2007 年 7 月 Oracle 公布 的 一 个 错误 授权 验证 漏洞 。 该 漏洞 允 
许 被 自 改 的 SQL 语句 绕 过 执行 用 户 被 授权 的 权限 ,能 够 在 没有 相应 权限 的 情况 下 对 数据 
表 执行 更 新 .插入 和 删除 操作 。SQL Server 2005 的 CVE-2008-0107 也 是 这 种 类 型 的 漏 
洞 。 该 漏洞 允许 攻击 者 通过 整数 型 缓冲 区 溢出 漏洞 控制 SQL Server 所 在 服务 器 。 


3. 内 存 存储 对 象 的 安全 问题 

许多 数据 库 系 统 都 提供 大 量 内 建 的 存储 过 程 和 软件 包 , 这 些 存 储 过 程 对 象 提升 了 数 
据 库 的 性 能 和 效率 ,同时 也 帮助 管理 员 和 开发 者 管理 数据 库 系统 。 默 认 情 况 下 ,一 个 
Oracle 数据 库 在 安装 时 默认 拥有 多 达 30000 个 可 以 公开 访问 的 对 象 , 这 些 对 象 为 许多 任 
务 ( 包 括 访问 OS 文件 .发送 HTTP 请 求 ,管理 XML 对 象 ,Java 服务 以 及 支持 复制 等 ) 提 
供 相应 的 功能 。 这 些 功能 都 会 在 网 络 上 开启 对 应 端口 ,而 每 多 开 一 个 网 络 端口 ,就 多 了 一 
份 被 人 侵 威胁 ,其 中 包括 了 SQL 注入 缓冲 区 游 出 和 应 用 程序 逻辑 问题 等 异常 情况 。 


4. SQL 编程 组 件 的 安全 问题 

SQL 编程 组 件 是 一 个 比较 宽泛 的 概念 ,在 每 种 不 同 的 数据 库 中 功能 效果 存在 差异 ， 
这 里 以 Oracle 的 PL/SQL 为 例 进 行 说 明 。 

PL/SQL 给 函数 和 存储 过 程 分 配 了 两 种 不 同 权 限 , 这 使 得 Oracle 的 安全 性 存在 大 量 
的 隐患 。PL/SQL 带 来 的 最 多 的 问题 就 是 低 权限 账户 提升 为 高 权限 的 问题 。 通 过 Web 
或 其 他 方式 拿 到 数据 库 的 一 组 低 权 限 用 户 后 ,攻击 者 可 以 通过 PL/SQL 中 的 一 些 方法 对 
低 权 限 用 户 进 行 提 权 , 最 终 控 制 整个 数据 库 以 及 操作 系统 。DBMS_METADATA、 

67 


EGG 漏洞 扫描 与 防护 Eee 


CTXSYS DRILOAD、CTXSYS DRILOAD、DBMS _ CDC _ SUBSCRIBE, DBMS _ 
METADATA .MDSYS.SYS. LT、LT_CTX_PKG、USER_SDO_LRS_METADATA、 
DBMS_EXPORT_EXTENSION .DBMS_SQL 等 开发 工具 包 都 出 现 过 容许 攻击 者 将 低 权 
限 账号 提 权 到 DBA 权限 的 漏洞 。 


5.1.2 ”数据 库 漏洞 的 发 展 趋势 


目前 ,数据 库 漏洞 在 数据 安全 中 的 威胁 最 严重 。 数 据 库 漏洞 的 影响 范围 绝 不 仅仅 是 
存在 漏洞 的 数据 库 自身 ,还 包括 数据 库 所 在 操作 系统 和 数据 库 所 在 局 域 网 的 安全 。 漏 洞 
的 问题 和 时 间 之 间 是 密切 关系 的 , 随 着 时 间 的 推移 , 旧 的 漏洞 会 被 修复 ,新 的 漏洞 会 不 断 
出 现 , 因 而 漏洞 不 会 彻底 消失 ,会 长 期 存在 。 数 据 库 漏洞 影响 广 、 威 胁 大 ,防护 者 除了 积极 
更 新 补丁 外 ,还 可 通过 合理 配置 提高 人 侵 难 度 。 对 数据 库 漏 洞 进行 研究 探索 有 助 于 预知 
数据 库 可 能 出 现 0day 漏洞 的 位 置 , 尽 早 和 客户 沟通 ,帮助 客户 对 数据 库 可 能 被 和 人 侵 组 件 
进行 加 固 。 下 面 从 数据 库 漏 洞 的 时 间 分 布 .威胁 类 型 分 布 . 攻 击 途 径 分 布 . 利 用 趋势 分 布 
4 个 角度 介绍 数据 库 漏洞 的 发 展 趋势 。 

1. 按 发 布 时 间 分 布 

从 1996 年 开始 ,数据 库 进 入 安全 团队 的 视野 。 同 年 4 月 ,Oracle 被 披露 出 第 一 个 安 
全 漏洞 。 从 1999 年 的 4 个 漏洞 开始 ,漏洞 数量 每 年 稳步 增长 ,到 2012 年 一 年 被 爆 出 116 
个 漏洞 。 由 于 不 同 数据 库 研究 开始 时 间 和 研究 深度 各 不 相同 ,所 以 下 面 选 取 2012 一 2017 
年 中 5 个 主流 数据 库 (Oracle、msSQL、MySQL、DB2、PostgreSQL) 的 漏洞 进行 分 析 , 如 
图 5-1 所 示 。 每 年 被 确认 的 数据 库 漏 洞 数量 呈 震 荡 趋 势 : 数据 库 发 布 新 功能 的 年 份 , 漏 
洞 数量 会 有 一 定 提 高 ;不 发 布 或 少 发 布 新 功能 的 年 份 ,漏洞 数量 明显 降低 。 截 至 2017 年 
12 月 初 , 近 6 年 被 确认 的 数据 库 漏洞 共有 666 个 ,其 中 2017 年 被 确认 的 数据 库 漏洞 数量 


为 121 个 。 
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图 5-1 2012 一 2017 年 数据 库 漏洞 数量 


2017 年 比 2016 年 数据 库 漏洞 数量 有 少量 下 降 , 减 少 了 15 个 漏洞 。 这 是 因为 2016 
年 各 家 数据 库 开发 了 一 些 新 功能 ,并 且 也 出 现 了 一 些 新 的 攻击 手段 ;而 2017 年 各 家 数据 
库 主 要 致力 于 修补 漏洞 。2017 年 的 121 个 数据 库 漏洞 的 厂商 分 布 如 图 5-2 所 示 。 
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图 5-2 2017 年 的 121 个 数据 库 漏洞 的 厂商 分 布 


2. 按 威胁 程度 分 布 

数据 库 漏洞 按照 对 数据 库 的 机 密 性 、 完 整 性 和 可 用 性 的 威胁 程度 进行 分 类 ,可 分 成 4 
大 类 : 超 高 危 漏洞 .高危 漏洞 .中 危 漏洞 和 低 危 漏洞 。 其 中 ,高 危 漏 洞 必须 及 时 处 理 , 低 危 
漏洞 和 中 和 危 漏洞 虽然 没有 高 危 漏洞 严重 ,但 在 某 些 特定 情况 下 也 会 达到 高 危 漏洞 的 危害 
程度 ,所 以 不 能 轻视 低 危 漏洞 。2017 年 被 确认 的 121 个 漏洞 中 ,Oracle 10 个 ,MySQL 91 
个 .PostgreSQL 6 个、Microsoft SQL Server 1 个 IJBM DB2 10 个 ,Informix 3 个 。 其 中 ， 
Oracle 有 4 个 高 危 漏 洞 ;MySQL 虽然 被 爆 出 91 个 漏洞 ,但 只 有 7 个 高 危 漏 洞 ; Microsoft 
SQL Server PostgreSQL 和 IBM DB2 则 没有 高 危 漏洞 ;PostgreSQL 6 个 漏洞 中 含 5 个 
高 危 漏 洞 。 此 外 ,国产 数据 库 漏 洞 信息 会 由 国内 的 漏洞 平台 认证 和 发 布 , 截 至 2017 年 10 
月 ,来 自 CNNVD 和 CNVD 的 国产 数据 库 漏洞 一 共 11 个 ,全 部 来 自 安 华 金 和 攻防 实验 
室 , 其 中 达 梦 数据 库 漏洞 占 10 个 ,包含 1 个 超 高 危 .3 个 高 危 ;Gbase 数据 库 发 现 1 个 漏 
洞 。 数 据 库 漏洞 等 级 与 厂商 分 布 如 图 5-3 所 示 。 


Gbase ™ 
达 梦 了 一 
SQL Server 。 
PostgreS... Wm 
DB2 Bm 
MSO 
Orace = 
0 10 20 30 40 50 60 70 80 90 
Oracle MySQL DB2 PostgreSQL SQL Server 达 梦 Gbase 
晶 低 危 3 6 1 0 0 0 0 
目 中 危 2 78 3 2 0 1 
晶 高 危 5 7 6 7 1 3 
里 超 高 危 1 


加 低 危 四 中 危 四 高 危 目 超 高 危 
图 5-3 数据 库 漏洞 等 级 与 厂商 分 布 


3. 按 攻击 途径 分 布 
数据 库 漏 洞 按 攻击 途径 可 划分 为 两 类 : 远程 服务 器 漏洞 和 本 地 漏洞。 
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远程 服务 器 漏洞 主要 是 指 位 于 提供 网 络 服务 的 进程 中 的 漏洞 。 攻 击 者 可 以 通过 网 络 
在 另 一 台 计 算 机 上 直接 进行 攻击 ,无 须 用 户 进行 任何 操作 。 

本 地 漏洞 指 的 是 必须 登录 到 安装 软件 的 计算 机 上 才能 利用 的 漏洞 。 该 类 漏洞 因 利用 
条 件 匣 刻 ,威胁 也 最 大 。 

目前 ,数据库 漏洞 按照 攻击 途径 的 分 布 如 图 5-4 所 示 , 其 中 远程 漏洞 占 74%, 本 地 漏 
洞 占 17%。 在 远程 漏洞 中 ,需要 登录 数据 库 SQL 层 的 漏洞 远 多 于 协议 层 的 漏洞 。 数 据 
库 漏洞 攻击 入 口 分 布 如 图 5-5 所 示 , 除 去 不 确定 的 漏洞 ,SQL 层 占据 全 部 漏洞 类 型 的 
81% ,协议 层 漏洞 占据 9%。SQL 层 漏 洞 的 利用 需要 先 通过 一 组 弱 口 令 登 人 到 数据 库 中 ， 
然后 再 使 用 巧妙 的 字符 串 组 合 进 行 攻击 ,这样 会 导致 数据 库 出 现 拒绝 服务 数据 库 泄 漏 、 
权限 提升 .操作 系统 被 控制 等 多 种 问题 。 针 对 数据 库 中 的 SQL 层 可 以 采用 对 问题 函数 、 
存储 过 程 进行 权限 限制 等 方式 规避 。 


SQL 层 漏洞 


远程 漏洞 74% 81% 


图 5-4 数据 库 漏洞 按照 攻击 途径 的 分 布 图 5-5 数据 库 漏洞 攻击 入 口 分 布 


4. 利用 趋势 分 布 

漏洞 往往 是 多 个 一 起 被 发 现 , 出 现在 同一 函数 ,存储 过 程 中 。 数 据 库 漏洞 中 的 高 危 漏 
洞 最 关键 ,对 高 危 漏洞 出 现 的 函数 、 存 储 过 程 进行 安全 加 固 不 但 有 利于 防护 已 发 现 的 漏 
洞 ,更 可 能 提高 针对 0day 漏洞 的 预防 能 力 。2016 年 ,高 危 漏洞 集中 于 数据 库 Oracle 和 
MySQL 中 ,分 别 为 CVE-2016-3609、CVE-2016-3489、CVE-2016-3479、CVE-2016-3454、 
CVE-2016-0639 .CVE-2016-3471。 

CVE-2016-3454 和 CVE-2016-3609 是 Oracle 的 Java JVM 存在 的 缓冲 区 溢出 漏洞 。 
该 漏洞 不 需要 获得 目标 数据 库 的 网 络 访问 权限 或 者 数据 库 所 在 操作 系统 的 访问 权限 ,就 
可 以 导致 目标 数据 库 被 完全 控制 .存储 的 所 有 敏感 信息 被 瓷 取 、 数 据 库 被 彻底 破坏 和 数据 
库 服务 被 停止 等 问题 。 

CVE-2016-3489 是 一 个 本 地 漏洞 ,存在 于 data pump import 组 件 中 。data pump 
import 组 件 主要 用 来 处 理 数据 库 的 数据 库 文件 的 导入 /导出 。 攻 击 者 通过 某 种 手段 登录 
到 数据 库 本 地 后 ,可 以 通过 该 组 件 导出 某 些 正常 渠道 无 权限 访问 的 数据 ,从 而 盗 取 某 些 敏 

CVE-2016-3479 是 一 个 远程 漏洞 ,位 于 Portable Clusterware 组 件 中 。 该 漏洞 可 能 导 
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致 入 侵 者 仅 有 一 组 低 权限 账号 ,就 可 获得 数据 库 的 部 分 表 的 访问 权 , 获 得 其 中 的 敏感 信 
息 , 甚 至 对 数据 库 稳 定性 造成 一 定 程度 的 影响 。 

CVE-2016-0639、CVE-2016-3471 是 MySQL 的 两 个 安全 漏洞 ,前 者 是 远程 漏洞 ,后 
者 是 本 地 漏洞 。 两 者 都 是 由 于 相对 应 组 件 中 存在 的 变量 限制 不 严格 导致 的 ,在 某 些 条 件 
下 可 能 导致 数据 库 信息 泄漏 。 尤 其 是 其 中 的 远程 漏洞 ,其 可 在 无 须 任 何 账号 密码 的 情况 
下 ,导致 MySQL 缓冲 区 溢出 。 

数据 库 安全 发 展 到 现在 ,权限 控制 和 输入 限制 已 成 为 核心 和 焦点 。 以 上 6 个 高 危 漏 
洞 中 的 3 个 是 缓冲 区 溢出 漏洞 ,特别 是 CVE-2016-0639 , 它 通过 对 协议 的 破解 直接 对 数据 
库 缓 冲 区 发 起 攻击 。 虽 然 缓 冲 区 溢出 和 通信 协议 破解 的 漏洞 越 来 越 少 , 但 其 一 旦 出 现 ,对 
数据 库 的 破坏 就 是 致命 性 的 。SQL 层 入 侵 依旧 是 漏洞 中 的 主流 , 80% 以 上 的 漏洞 都 属于 
SQL 层 入 侵 范 畴 ,其 中 主要 还 是 利用 数据 库 系统 SQL 的 漏洞 。 大 部 分 人 侵 者 还 是 依赖 
对 低 权 限 用 户 进行 升级 权限 ,以 获取 更 多 的 数据 库 敏 感 信息 。 数 据 库 管理 员 需 要 严格 分 
配 用 户 权 限 , 防 止 分 配给 用 户 过 高 的 权限 ;对 非 必要 的 服务 可 以 禁用 或 卸载 ,防止 其 中 存 
在 的 漏洞 被 黑客 利用 ,对 数据 库 造 成 破坏 。 


5.2 数据 库 漏洞 扫描 


数据 库 漏 洞 扫描 是 对 数据 库 系统 进行 自动 化 安全 评估 的 专业 技术 , 它 能 够 充分 暴露 
数据 库 系统 的 安全 漏洞 和 威胁 ,并 提供 智能 的 修复 建议 ,将 企业 的 数据 库 安 全 建设 工作 由 
被 动 的 事后 追查 转变 为 事前 的 主动 预防 ,将 数据 库 的 安全 自 查 由 低 效 的 人 工 方式 提升 到 
高 效 准 确 的 自动 检查 方式 ,并 以 报表 的 方式 呈现 给 管理 员 ,适时 提出 修补 方法 和 安全 实施 
策略 ,对 数据 库 的 安全 状况 进行 持续 化 监控 ,从 而 帮助 用 户 保 持 数据 库 的 安全 健康 状态 ， 
实现 “ 防 患 于 未 然 ”。 


5.2.1 数据库 漏洞 的 成 因 


数据 库 系 统 在 设计 和 使 用 时 会 出 现 很 多 安全 隐患 ,这 些 安全 隐患 会 直接 或 间接 地 造 
成 数据 库 漏洞 的 出 现 。 形 成 数据 库 漏洞 的 原因 主要 有 以 下 5 个 方面 。 


1. 数据 库 管理 不 当 

很 多 数据 库 管理 人 员 常 常 只 将 注意 力 放 在 数据 库 系统 的 使 用 和 管理 上 ,对 数据 库 安 
全 不 够 重视 ,不 能 及 时 察觉 数据 库 系 统 中 可 能 发 生 的 安全 风险 。 此 外 ,对 数据 的 错误 操作 
和 配置 也 会 带 来 安全 隐患 。 这 些 管理 上 的 不 当 很 容易 给 攻击 者 提供 可 乘 之 机 ,使 得 数据 
库 产生 安全 隐患 。 因 此 ,需要 提高 数据 管理 人 员 的 业务 水 平和 责任 心 , 在 人 为 因素 上 避免 
数据 库 漏洞 的 产生 。 

2. 只 注意 网 络 和 主机 的 安全 ,忽略 数据 库 本 身 

许多 信息 安全 人 员 都 有 一 个 误解 ,认为 一 旦 关键 的 Web 服务 和 主机 操作 系统 漏洞 得 
到 修复 ,数据 库 就 会 得 到 保护 。 这 种 错误 的 想法 常常 导致 数据 库 安全 问题 的 发 生 。 所 有 
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现代 关系 数据 库 系统 都 是 “端口 可 寻 址 ”的 ,这 意味 着 任何 具有 正确 查询 工具 的 人 都 可 以 
规避 操作 系统 的 安全 性 防护 机 制 , 直 接连 接 到 数据 库 系 统 , 并 威胁 数据 库 的 安全 。 


3. 对 数据 库 权 限 的 管理 不 够 严格 

如 果 数 据 库 系统 对 数据 的 访问 权限 没有 严格 的 定义 ,网 络 中 的 人 侵 者 就 可 以 轻松 访 
问 数据 库 中 的 机 密 数 据 。 并 且 ,数据 库 系 统 自身 的 默认 用 户 和 密码 的 问题 .数据库 自身 的 
安全 漏洞 以 及 管理 员 的 后 门 都 可 能 被 人 侵 者 利用 ,以 获得 更 高 的 权限 ,并 窃取 机 密 数 据 。 


4. 数据 库 受 应 用 系统 的 影响 

大 部 分 应 用 系统 在 设计 时 为 了 节约 许可 证 的 数目 ,数据 库 中 的 用 户 数量 往往 只 有 一 
个 或 者 只 有 少量 的 几 个 ,而 且 不 同 用 户 的 身份 区 别 是 通过 建立 用 户 名 /密码 表 实 现 的 。 此 
类 系统 中 登入 到 数据 库 的 用户 ”是 同一 个 数据 库 用 户 ,所 有 用 户 相 对 数据 库 平 台 的 权限 
是 一 样 的 ,容易 造成 相互 冒 用 的 情况 。 


5. 数据 库 本 身 存在 安全 漏洞 

由 于 数据 库 系统 功能 强大 ,结构 复杂 ,各 种 应 用 程序 众多 ,所 以 系统 本 身 的 漏洞 也 非 
常 多 。 这 些 漏 洞 中 的 某 些 漏洞 会 同时 威胁 到 数据 库 本 身 和 其 所 在 操作 系统 的 安全 。 常 用 
的 几 种 数据 库 也 都 有 很 多 众所周知 的 漏洞 。 恶 意 用 户 有 可 能 利用 这 些 漏洞 攻击 数据 库 ， 
侵入 操作 系统 ,以 获得 系统 的 重要 数据 ,甚至 破坏 系统 。 计 算 机 感染 木马 .恶性 弹出 窗口 
和 恶意 软件 等 造成 的 损失 常常 很 小 ,但 数据 库 被 破坏 或 者 恶意 使 用 造成 的 后 果 几 乎 是 无 
法 弥补 的 。 


5.2.2 ”数据 库 漏洞 扫描 任务 


主流 数据 库 的 漏洞 在 使 用 中 逐步 暴露 , 且 数 量 庞大 。 为 了 检测 出 数据 库 系 统 中 存在 
的 漏洞 ,漏洞 扫描 的 任务 主要 有 以 下 6 个 方面 。 
1. 分 析 内 部 不 安全 配置 ,防止 越权 访问 


通过 只 读 账户 登录 到 数据 库 服务 器 ,实现 由 内 到 外 的 检测 ;提供 现 有 数据 的 漏洞 透视 
图 和 数据 库 配置 安全 评估 ;初步 诊断 内 外 部 的 非 授 权 访 问 。 


2. 监控 数据 库 安 全 状况 ,防止 数据 库 安 全 状况 恶化 

建立 数据 库 的 安全 基线 ,对 数据 库 进 行 定期 扫描 ,对 所 有 安全 状况 发 生 的 变化 及 时 进 
行 报告 和 分 析 。 

3. 用 户 授权 状况 扫描 ,便于 找到 宽泛 权限 账户 

大 型 业务 系统 中 ,用 户 的 授权 状况 ,特别 是 管理 员 权限 的 授予 状况 ,是 系统 安全 的 关 
键 。 从 安全 合 规 性 的 角度 ,用 户 和 授权 状况 也 应 是 审查 的 要 点 。 数 据 库 漏洞 扫描 可 以 使 
用 自动 化 的 收集 工具 ,获得 独立 于 DBA( 拥 有 全 部 特权 ,是 系统 最 高 权限 ) 的 授权 报告 。 

4. 弱 口 令 猜 解 ,发 现 不 安全 的 口令 设置 

基于 各 种 主流 数据 库 口 令 生成 规则 实现 口令 匹配 扫描 ,规避 基于 数据 库 登 录 的 用 户 
锁定 问题 和 效率 问题 ,通过 基于 字典 库 、 基 于 规则 、 基 于 穷 举 的 多 种 模式 实现 弱 口 令 检 测 。 
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5. 发 现 外 部 黑客 攻击 漏洞 .防止 外 部 攻击 

实现 非 授 权 的 从 外 到 内 的 检测 。 模 拟 黑 客 使 用 的 漏洞 发 现 技术 ,在 没有 授权 的 情况 
下 对 目标 数据 库 的 安全 性 作 深 入 的 探测 分 析 , 收 集 外 部 人 员 可 以 利用 的 数据 库 漏洞 的 详 
细 信 息 。 


6. 发 现 敏感 数据 ,保护 核心 数据 安全 

一 般 应 用 的 后 台数 据 库 都 有 上 百 个 表 和 上 千 个 字段 列 , 要 保护 核心 数据 资产 ,首先 要 
了 解 核心 数据 存放 在 何 处 。 通 过 敏感 数据 发 现 功能 对 存储 密码 .个 人 标识 信息 、 信 用 卡 账 
户 等 的 表 和 列 进行 扫描 ,并 重点 保护 这 些 数据 。 


5.2.3 数据库 漏洞 扫描 的 技术 路 线 
数据 库 漏洞 扫描 的 主要 技术 路 线 有 黑 盒 测试 . 白 盒 测试 和 渗透 测试 3 种 。 


1. 黑 盒 测试 

黑 盒 测试 的 原理 是 在 不 知道 数据 库 登 录 账 户 的 情况 下 ,根据 权威 的 漏洞 披露 平台 
数据 库 的 版 本 号 ,猜测 会 出 现 哪些 漏洞 。 传 统 的 漏洞 扫描 就 是 根据 黑 盒 检测 的 方法 生成 
数据 库 漏洞 检测 报告 的 ,但 其 缺陷 包括 如 下 3 个 方面 。 

(1) 无 法 扫描 出 数据 库 的 低 安全 配置 和 所 有 的 弱 口 令 。 

(2) 若 该 版 本 的 数据 库 没 有 安装 含有 漏洞 的 组 件 , 则 可 能 导致 误 报 。 

(3) 相同 版 本 号 的 数据 库 扫 描 出 的 数据 库 漏 洞 是 相同 的 。 


2. 和 白 盒 测试 

白 盒 测试 的 原理 是 使 用 数据 库 用 户 和 口令 登录 ,基于 漏洞 知识 库 构 建 漏洞 描述 和 修 
复 建议 模型 ,采用 检测 规则 库 形 成 漏洞 对 应 检测 方法 ,使 用 国际 主流 安全 检测 脚本 语言 
NASL 实现 检测 。 领 先 的 数据 库 漏洞 扫描 技术 一 般 采 用 这 种 方法 ,这 种 检测 方法 的 优势 
如 下 。 

(1) 命中 率 高 。 按 照 漏洞 知识 库 中 的 漏洞 信息 和 检测 规则 进行 针对 性 测试 ,准确 发 
现 数据 库 中 实际 存在 的 漏洞 。 

(2) 可 扩展 性 高 。 对 于 知识 库 的 扩充 或 升级 ,只 需 在 知识 库 中 添加 漏洞 的 描述 和 修 
复 建议 ,同时 补充 NASL 脚本 检查 程序 即 可 ,然后 系统 会 自动 完成 漏洞 库 的 扩充 或 升级 。 

(3) 可 以 扫描 出 安全 配置 和 弱 口令 等 问题 。 


3. 渗透 测试 

渗透 测试 是 模拟 黑客 使 用 的 漏洞 发 现 技 术 和 攻击 手段 ,在 没有 授权 的 情况 下 ,对 目标 
数据 库 的 安全 性 作 深入 的 探测 分 析 ,并 实施 攻击 (有 可 能 导致 停机 或 对 数据 库 造成 损害 )， 
取得 系统 安全 威胁 的 真实 证 据 。 通 过 渗透 测试 ,可 以 直接 看 到 应 用 弱点 被 攻击 的 后 果 , 如 
获得 系统 权限 .执行 系统 命令 、 自 改 数据 等 ,这 类 检测 方法 一 般 用 于 验证 数据 漏洞 存在 的 
情况 。 
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5.2.4 数据 库 漏洞 扫描 的 核心 技术 


1. 智能 端口 发 现 技术 

实现 数据 库 服务 器 的 自动 发 现 技术 的 瓶颈 在 于 端口 自动 识别 技术 。 对 于 常见 的 数据 
库 服务 端口 ,如 SQL Server 使 用 1433 端口 .Oracle 使 用 1521 端口 MySQL 使 用 3306 端 
口 ,这 类 默认 端口 可 以 根据 知识 库 快 速 识别 ,但 对 于 修改 了 默认 端口 的 服务 ,识别 难度 就 
比较 大 。 

智能 端口 发 现 技术 通常 是 通过 “主动 方式 ”获取 指定 数据 库 所 运行 的 端口 信息 , 即 轮 
询 某 一 范围 的 端口 ,向 其 发 送 符合 特定 数据 库 协议 的 连接 请 求 , 若 得 到 符合 格式 的 回应 信 
息 , 则 说 明 该 端口 为 指定 数据 库 服 务 所 监听 的 端口 。 

以 Oracle 的 TNS 协议 (服务 器 端 与 客户 端的 通信 协议 ) 为 例 , 向 某 一 端口 发 送 连接 
请 求 , 若 该 端口 为 Oracle 服务 器 的 监听 端口 , 则 其 必然 返回 拒绝 报 文 与 重 定向 报 文 。 在 
接收 端 只 要 收 到 以 上 两 个 报 文 之 一 , 则 说 明 该 端口 为 Oracle 服务 的 监听 端口 。 


2. 漏洞 库 的 匹配 技术 

漏洞 库 的 匹配 技术 即 基于 数据 库 系统 安全 漏洞 知识 库 , 按 照 一 定 的 匹配 规则 发 现 漏 
洞 的 方式 。 首 先 根据 数据 库 攻防 实验 室 对 数据 库 漏 洞 攻击 特征 的 研究 .黑客 攻击 案例 的 
分 析 和 DBA 对 数据 库 系统 安全 配置 的 实际 经 验 ,形成 一 套 标准 的 数据 库 系统 漏洞 库 , 然 
后 在 此 基础 上 构成 相应 的 匹配 规则 ,由 扫描 程序 自动 进行 漏洞 扫描 工作 。 这 种 技术 的 有 
效 性 主要 取决 于 漏洞 库 的 完整 性 。 对 于 黑客 探知 到 的 未 知 漏洞 ,由 于 没有 包含 在 漏洞 库 
中 ,其 防御 性 大 幅 降 低 。 另 外 ,漏洞 库 的 修订 以 及 更 新 的 状态 也 会 影响 到 检查 结果 的 准 
确 性 。 
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5.3.1 数据 库 漏洞 的 处 理 
数据 库 漏洞 的 种 类 繁多 , 且 危 害 极 大 。 下 面 介绍 几 种 常用 的 处 理 数据 库 漏洞 的 方法 。 


1. 及 时 更 新 数据 库 软件 

各 大 数据 库 软件 厂商 对 于 数据 库 的 安全 非常 重视 : 一 方面 为 用 户 提供 漏洞 提交 平 
台 , 收 集 用 户 使 用 中 出 现 的 安全 漏洞 ; 另 一 方面 也 在 不 断 测试 自身 的 数据 库 系统 ,主动 发 
现 漏洞 。 然 后 ,各 大 三 商会 针对 收集 到 的 所 有 安全 漏洞 给 出 解决 方案 ,推出 软件 补丁 , 修 
复 漏洞 。 因 此 ,用 户 可 以 通过 更 新 数据 库 软件 修复 安全 漏洞 ,这 也 是 修复 数据 库 漏 洞 最 直 
接 和 最 有 效 的 方式 。 

另外 ,一 旦 数据 库 软 件 厂商 发 布 修复 补丁 后 ,攻击 者 也 可 以 使 用 这 些 修复 补丁 对 应 的 
安全 漏洞 人 侵 未 更 新 的 数据 库 系 统 。 因 此 ,数据 库 系统 的 安全 信息 员 需 要 时 刻 关注 官方 
发 布 的 信息 ,及 时 更 新 数据 库 系统 。 
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2. 及 时 更 新 应 用 系统 

和 人 侵 数 据 库 系统 不 仅 可 以 直接 利用 数据 库 的 安全 漏洞 ,也 可 以 通过 入 侵 数据 库 所 在 
的 应 用 系统 间接 地 人 侵 数据 库 。 一 方面 ,在 人 侵 应 用 系统 后 ,可 以 获得 对 应 数据 库 系统 的 
详细 信息 ,包括 版 本 信息 和 配置 信息 等 ,提高 人 侵 数据 库 系统 的 概率 ; 另 一 方面 ,入 侵 者 其 
至 可 以 通过 应 用 系统 获得 数据 库 系统 的 操作 权限 ,直接 获得 数据 库 中 的 数据 。 因 此 ,及 时 
更 新 应 用 系统 ,修复 应 用 系统 的 安全 漏洞 也 极为 重要 。 


3. 防范 SQL 注入 

防范 SQL 注入 主要 在 于 严密 地 验证 用 户 输入 的 合法 性 ,防止 产生 输入 漏洞 。 防 范 
SQL 注入 需要 在 程序 开发 阶段 时 进行 处 理 ,其 主要 有 以 下 3 种 具体 的 方式 。 

(1) 使 用 验证 器 验证 用 户 的 输入 。 例 如 ,可 以 限制 输入 的 长 度 和 类 型 等 ,这 样 就 限制 
了 入 侵 者 键入 字符 的 字数 ,从 而 限制 了 入 侵 者 向 服务 器 发 送 大 量 的 非法 命令 。 

(2) 对 用 户 输入 数据 进行 过 滤 。 首 先 对 用 户 输入 的 数据 进行 过 滤 ,把 单 引号 和 双 引 
号 全 部 过 滤 掉 ,再 进行 SQL 语句 的 构造 ,这 样 就 大 大 降低 了 入 侵 者 成 功 和 人 侵 的 概率 。 

(3) 利用 参数 化 存储 过 程 或 SQL 参数 。 利 用 参数 化 存储 过 程 访问 数据 库 , 确 保 不 会 
将 输入 字符 串 看 作 是 可 执行 语句 。 如 果 不 能 使 用 存储 过 程 , 在 构建 SQL 命令 时 要 利用 
SQL 参数 ,这样 和 人 侵 者 就 不 能 使 用 特殊 字符 拼接 字符 串 。 当 指定 了 参数 的 类 型 和 长 度 
后 ,如 果 用 户 输入 一 个 无 效 的 值 到 当前 的 数据 类 型 中 , 则 查询 将 失败 。 如 果 指 定 了 参数 的 
长 度 ,就 能 防止 大 量 数据 传递 到 数据 库 服务 器 中 。 


5.3.2 数据库 安全 防护 体系 


为 了 更 好 地 保护 数据 库 的 安全 ,可 以 建立 数据 库 安全 防护 体系 ,通过 事前 预警 、. 事 中 
防护 和 事后 审计 的 方式 ,全 方位 地 保护 数据 安全 。 

数据 库 防护 体系 结构 图 如 图 5-6 所 示 ,其 包括 数据 库 监控 扫描 系统 、 数 据 库 防火 墙 系 
统 、 数 据 库 透 明 加 密 系统 数据 库 审计 系统 ,提供 核心 数据 预警 防御 事件 和 事后 审计 的 集 
成 数据 库 安全 解决 方案 。 


数据 库 安全 防护 
事前 预警 事 中 防护 事后 审计 
: 败 控 扫描 数据 库 防火 墙 系统 、 :市 
数据 库 监控 扫描 系统 | 。 | 数据库 鉴 拓 此 系 续 这 数据 库 审 计 系统 


图 5-6 数据 库 防 护 体系 结构 图 
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1. 数据 库 监 控 扫 描 系 统 

数据 库 监控 扫描 系统 可 以 对 数据 库 系统 进行 全 自动 的 监控 和 扫描 ,及 早 发 现 数据 库 
中 已 有 的 漏洞 ,并 提供 修复 指示 。 数 据 库 监控 扫描 系统 会 定期 对 数据 库 进 行 漏洞 扫描 ,万 
其 是 对 近期 更 新 的 程序 或 配置 进行 重点 关注 ,一 旦 发 现 问题 ,就 立即 向 安全 管理 员 报 告 。 


2. 数据 库 防火 墙 系统 
数据 库 防火 墙 系统 采用 主动 防御 技术 ,实时 对 数据 库 连接 进行 监测 .识别 和 报警 , 阻 
挡 来 自 内 外 的 一 切 风 险 行为 ,防止 核心 数据 被 破坏 ,加 强 对 核心 数据 的 保护 。 


3. 数据 库 透 明 加 密 系统 
在 数据 库 系 统 中 ,通过 权限 控制 和 加 密 存储 ,用 户 可 以 对 核心 数据 进行 加 密 处 理 , 设 
置 访问 权限 。 只 有 经 过 授权 的 用 户 才能 访问 加 密 的 数据 ,以 确保 数据 的 机 密 性 。 


4. 数据 库 审计 系统 

数据 库 审 计 系统 对 数据 库 的 所 有 操作 进行 审计 ,实时 记录 分 析 、 识 别 和 确定 风险 , 提 
供 审 计 报告 ,实时 地 反映 数据 库 系 统 的 安全 状况 ,并 预测 数据 库 系 统 安全 变化 趋势 ,进行 
风险 报警 。 


1. 数据 库 软 件 主要 包含 哪些 组 件 ? 

2. 按照 数据 库 被 入 侵 的 方式 可 以 将 数据 库 漏洞 分 为 几 类 ? 

3. 数据 库 漏洞 数量 近 几 年 呈现 什么 样 的 趋势 变化 ? 

4. 高 危 漏 洞 . 中 危 漏洞 和 低 危 漏洞 是 按 什么 进行 分 类 的 ? 各 类 漏洞 都 有 什么 特点 ? 
5. 数据 库 漏洞 产生 的 原因 主要 有 哪些 ? 

6. 简 述 数据 库 漏洞 扫描 的 主要 任务 和 技术 路 线 。 

7. 常见 的 数据 库 漏洞 处 理 方式 有 哪些 ? 
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第 6 章 
Web 系统 漏洞 及 其 
防范 措施 


Web 安全 漏洞 层出不穷 ,本 章 主要 介绍 如 SQL 注入 、XSS 路 站 脚本 攻击 等 常见 Web 
安全 漏洞 的 成 因 扫描 和 处 理 方法 ,在 此 基础 上 介绍 指纹 识别 .认证 安全 ,会话 管理 和 其 他 
安全 增强 技术 。 


加 HTTP 基础 知识 


6.1.1 HTTP 基本 概念 


HTTP 的 全 称 为 HyperText Transfer Protocol, 即 超 文本 传输 协议 ,是 互联 网 应 用 
最 广泛 的 一 种 网 络 协议 。 所 有 的 WWW 文件 都 必须 遵守 这 个 标准 。 


1. HTTP 特性 

(1) HTTP 是 无 连接 无 状态 的 。 

(2) HTTP 构建 于 TCP/IP 之 上 ,默认 端口 号 是 80。 
(3) HTTP 可 以 分 为 两 个 部 分 , 即 请 求 和 响应 。 


2. HTTP 请 求 

HTTP 定义 了 与 服务 器 交互 的 不 同方 式 ,最 常用 的 方法 有 4 种 ,分 别 是 GET、 
POST PUT、DELETE。URL 的 中 文 名 称 为 资源 描述 符 , 可 以 认为 : 一 个 URL 地 址 对 
应 一 个 网 络 上 的 资源 ,而 HTTP 中 的 GET、. POST .PUT、DELETE 对 应 对 这 个 资源 的 查 
询 修改、 增添、 删除 4 个 操作 。 

HTTP 请 求 由 3 个 部 分 构成 ,分 别 是: 状态 行 .请 求 头 、 请 求 正文 。 

(1) 状态 行 由 请 求 方式 .路径 .协议 等 构成 ,各 元 素 之 间 以 空格 分 隔 。 

(2) 请 求 头 提供 一 些 参 数 , 如 Cookie ,用户 代理 信息 .主机 名 等 。 

(3) 请 求 正文 会 存放 一 些 发 送 的 数据 ,一 般 GET 请 求 会 将 参数 放 在 URL 中 ,也 就 是 
放 在 请 求 头 中 ,因而 请 求 正 文 一 般 为 空 , 而 POST 请 求 将 参数 放 在 请 求 正 文中 。 请 求 正 
文 可 以 传 一 些 JSON( 一 种 轻 量 级 的 数据 交换 格式 ) 数 据 或 者 字符 串 等 。 


3. GET 请 求 和 POST 请 求 的 区 别 
(1) GET 请 求 和 POST 请 求 的 参数 位 置 不 同 ,从 这 两 个 请 求 报 文 可 以 看 出 ,GET 请 
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求 对 应 的 参数 放 在 URL 中 ,而 POST 请 求 对 应 的 参数 放 在 HTTP 请 求 主体 中 (但 是 ,这 
只 是 一 种 约定 ,GET 请 求 中 出 现 Body 字段 也 是 允许 的 ) 。 

(2) 虽然 HTTP 的 RFC 规范 并 没有 详细 规定 URL 的 最 大 字符 长 度 限制 ,但 实际 
上 ,在 浏览 器 或 者 服务 器 中 总 会 存在 限制 的 ,这 就 导致 GET 请 求 中 的 参数 数量 是 有 
限 的 。 

(3) 登录 请 求 需要 用 POST 提交 表单 ,而 GET 请 求 一 般 用 来 获取 静态 资源 。 

(4) GET 请 求 可 以 被 缓存 ,可 以 被 收藏 为 书签 。POST 可 以 被 缓存 ,但 是 不 能 被 收 
藏 为 书签 。 

(5) GET 请 求 的 参数 在 URL 中 ,因此 绝 不 能 用 GET 请 求 传输 敏感 数据 。POST 请 
求 数 据 写 在 HTTP 的 请 求 头 中 ,安全 性 略 高 于 GET 请 求 。 


6.1.2 HTTP 响应 


HTTP 响应 是 服务 器 在 客户 端 发 送 HTTP 请 求 后 经 过 一 些 处理 而 做 出 的 响应 。 
HTTP 响应 和 HTTP 请 求 相 似 , 也 由 3 个 部 分 构成 ,分 别 是 : 状态 行 、 响 应 头 (Response 
Header) ,响应 正文 。 

HTTP 响应 中 包含 一 个 状态 码 ,用 来 表示 服务 器 对 客户 端 响应 的 结果 。 

状态 码 一 般 由 3 位 构成 。 

Q@ 1xx: 表示 请 求 已 经 接受 了 ,继续 处 理 。 

@ 2xx: 表示 请 求 已 经 被 处 理 。 

@ 3xx: 重 定向 。 

@ 4xx: 一 般 表示 客户 端 有 错误 ,请 求 无 法 实现 。 

@@ 5xx: 一 般 为 服务 器 端的 错误 。 

了 解 HTTP 请 求 和 响应 后 ,一 个 完整 的 流程 一 般 为 : 

由 HTTP 客户 端 发 起 一 个 请 求 ,建立 一 个 到 服务 器 指定 端口 (默认 是 80 端口 ) 的 
TCP 连接 ;HTTP 服务 器 在 该 端口 监听 客户 端 发 送 过 来 的 请 求 ; 一 旦 收 到 请 求 , 服 务 器 会 
向 客户 端 发 回 一 个 状态 行 ,如 “HTTP/1.1 200 OK” 和 (响应 的 ?消息 ,消息 的 消息 体 可 能 
是 请 求 的 文件 .错误 消息 ,或 者 其 他 一 些 信息 。 


6.1.3 HTTP 头 信息 


1. HTTP 请 求 头 
以 请 求 360 首页 为 例 , 如 图 6-1 所 示 。 
@ Accept: 指定 客户 端 能 够 接收 的 内 容 类 型 ,如 常见 的 text/html 等 ,最 后 返回 的 
360 首页 也 是 一 个 HTML 文件 。 
@ Accept-Encoding: 表示 浏览 器 有 能 力 解 码 的 编码 类 型 。 
@ Accept-Language: 表示 浏览 器 支持 的 语言 类 型 (这 里 指 中文 .简体 中 文 和 英文 )。 
由 Cache-Control: 指定 请 求 和 响应 遵循 的 缓存 机 制 ( 这 里 表示 不 需要 缓存 )。 
加 Connection: 表示 是 否 需要 持久 连接 (HTTP 1. 1 默认 进行 持久 连接 , 即 默认 为 
keep-alive,，HTTP 1.0 则 默认 为 close) 。 
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vRequest Headers view source 
Accept text/html,application/xhtml+xml,application/xml;q=0.9,image/webp, image/apng,*/*;q=0.8 
Accept-Encoding: gzip, deflate, br 
Accept-Language: zh-CN, zh;q=9.9 
Cache-Controk: max-age=0 
Connection: keep-alive 
Cookie: _ guid=243898691.3395184423226398889.1492684662512.9347; __huid=19IgCgXkSSCqb8s3wW8DM%2FpoGsF 
mnJDxCQAcSbI1FNhcY%3D; _ sid=156869789.2963476517688848469.1516429492157.1187; monitor_count=4; _ gi 
d=156989789.77234669.1516429492159.1516429565235.4 
Host: wmi.368.cn 
-Modified-Since: Fri, 19 Jan 2918 13:21:46 GMT 
H-None-Match: W/"5a61f0ea-253be”™ 
Upgrade-Insecure-Requests: 1 
User-Agent Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/6 
3.9.3239.132 Safari/537.36 


图 6-1 HTTP 请 求 头 信息 


@ Cookie: 用 于 会 话 追 踪 。 

@ Host: 表示 请 求 的 服务 器 网 址 。 

@@ User-Agent: 用 户 代理 ,简称 UA, 它 是 一 个 特殊 字符 串 头 ,使 得 服务 器 能 够 识别 
客户 端 使 用 的 操作 系统 及 版 本 .CPU 类 型 .浏览 器 及 版 本 、 浏 览 器 泻 染 引擎 ,浏览 器 语言 、 
浏览 器 插件 等 。 

另外 还 有 一 些 常见 的 请 求 头 : 

OO Content-Length: 请 求 的 内 容 长 度 。 

@ Referer: 先前 访问 的 网 页 的 地 址 ,当前 请 求 网 页 紧 随 其 后 ,说 明 先 前 是 从 哪个 网 
址 点 击 访问 到 该 页 面 的 ,如 果 没有 , 则 不 填 。 

@ Content-Type: 内 容 的 类 型 ,GET 请 求 无 该 字段 。 


2. HTTP 响应 头 
下 面 仍 以 360 为 例 , 如 图 6-2 所 示 。 


Response Headers ~ view source 
Cache-Control: no-store, no-cache, must-revalidate 
Connection: keep-alive 
Content-Encoding: gzip 
Content-Type: text/html; charset=UTF-8 
Date: Sat, 29 Jan 2918 96:38:24 GMT 
Expires: Thu, 19 Nov 1981 98:52:69 GMT 
Pragma: no-cache 
Server: openresty 
Transfer-Encoding: chunked 
Vary: Accept-Encoding 


图 6-2 HTTP 响应 头 信息 


其 中 ,Connection、Content-Encoding、Content-Type 和 请 求 头 的 内 容 类 似 , 这 里 不 再 
效 述 。 此 外 ,响应 头 中 还 包含 以 下 信息 。 

Q@ Date: 原始 服务 器 消息 发 出 的 时 间 。 

@ Last-Modified: 请 求 资源 的 最 后 修改 时 间 。 

Expires: 响应 过 期 的 日 期 和 时 间 , 如 果 下 次 访问 在 时 间 允 许 的 范围 内 , 则 可 以 不 
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重新 请 求 ,直接 访问 缓存 即 可 。 

@ SerCookie: 设置 HTTP Cookie, 下 次 浏览 器 再 次 访问 时 会 带 上 这 个 
Cookie 值 。 

@ Server: 服务 器 软件 名 称 ,常见 的 有 Apache 和 Nginx。 


6.2 ”Web 安全 漏洞 的 发 展 概况 


2017 年 ,360 网 站 卫士 拦截 的 漏洞 攻击 中 ,有 一 半 以 上 是 SQL 注入 攻击 ,多 达 
59.6%; 其 次 是 Webshell 漏洞 占 8. 2%。Webshell 是 一 种 以 asp .php ,jsp 或 者 cgi 等 网 
页 文件 形式 存在 的 命令 执行 环境 。 另 外 ,通用 漏洞 、Nginx 攻击 `.XSS 扫描 器 漏洞 和 信息 
泄漏 等 也 被 网 站 卫士 广泛 拦截 。 除 此 之 外 , 仍 有 19.2% 的 其 他 类 型 漏洞 被 拦截 。 可 见 ， 
Web 安全 漏洞 的 种 类 越 来 越 繁多 ,是 漏洞 攻击 类 型 的 发 展 趋势 。2017 年 网 站 卫士 拦截 漏 
洞 攻击 类 型 分 布 饼 状 图 如 图 6-3 所 示 。 

信息 泄漏 


1.2% 


扫描 器 \ 
2.4% 
XSS ed 


28% 


Nginx 攻 击 
3.0% 


通用 漏洞 Ea 


3.0% 


Webshell 


8.2% 


图 6-3 2017 年 网 站 卫士 拦截 漏洞 攻击 类 型 分 布 饼 状 图 


6.3 常见 的 Web 安全 漏洞 


开放 式 Web 应 用 程序 安全 项 目 (Open Web Application Security Project, OWASP) 
是 一 个 提供 有 关 计 算 机 和 互联 网 应 用 程序 公正 .实际 ` 有 成 本 效益 的 信息 的 组 织 。 其 最 具 
权威 的 就 是 “10 项 最 严重 的 Web 应 用 程序 安全 漏洞 列表 ”(OWASP Top 10) ,总 结 了 
Web 应 用 程序 最 常见 .最 危险 的 以 及 最 可 能 发 生 的 十 大 漏洞 ,是 开发 .测试 .服务 .咨询 人 
员 应 知 应 会 的 知识 。 

2017 年 OWASP Top 10 应 用 安全 漏洞 见 表 6-1 。 
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表 6-1 2017 年 OWASP Top 10 应 用 安全 漏洞 表 


序号 漏洞 名 称 序号 漏洞 名 称 
| 注 人 6 敏感 信息 泄漏 
2 失效 的 身份 认证 和 会 话 管理 7 攻击 检测 与 防护 不 足 
3 跨 站 脚本 (XSS) 8 跨 站 请 求 伪造 (CSRF) 
4 失效 的 访问 控制 9 使 用 含有 已 知 漏洞 的 组 件 
5 安全 配置 错误 10 未 受 有 效 保护 的 API 


注入 

注入 攻击 漏洞 ,如 SQL、OS、LDAP 注入 。 这 些 攻击 发 生 在 不 可 信 的 数据 作为 命令 或 
者 查询 语句 的 一 部 分 ,并 被 发 送 给 解释 器 的 时 候 。 攻 击 者 发 送 的 恶意 数据 可 以 欺骗 解释 
器 ,以 执行 计划 外 的 命令 或 者 在 未 授权 的 情况 下 访问 数据 。 

2. 失效 的 身份 认证 和 会 话 管理 

身份 认证 和 会 话 管理 相关 的 应 用 程序 功能 得 不 到 正确 的 实现 ,会 导致 攻击 者 破坏 密 
码 、 密 钥 .会 话 令 牌 或 攻击 其 他 的 漏洞 冒充 其 他 用 户 的 身份 。 


3. 跨 站 脚本 

当 应 用 程序 收 到 不 可 信 的 数据 ,不 进行 适当 的 验证 和 转 义 ,就 发 送 给 网 页 浏览 器 时 ， 
或 者 使 用 可 以 创建 JavaScript 脚本 的 浏览 器 API 利用 用 户 提 供 的 数据 更 新 现 有 网 页 时 ， 
就 会 产生 跨 站 脚本 (XSS) 攻 击 。XSS 允许 攻击 者 在 受害 者 的 浏览 器 上 执行 脚本 ,从 而 劫 
持 用 户 会 话 , 危 害 网 站 ,或 者 将 用 户 重 定向 到 恶意 网 站 。 


4. 失效 的 访问 控制 

对 通过 认证 的 用 户 所 能 执行 的 操作 缺乏 有 效 限 制 ,攻击 者 就 可 以 利用 这 些 缺 陷 访 问 
未 经 授权 的 功能 和 数据 。 例 如 ,访问 其 他 用 户 的 账户 .查看 敏感 文件 .修改 其 他 用 户 的 数 
据 、 更 改 访问 权限 等 。 


5. 安全 配置 错误 

好 的 安全 需要 对 应 用 程序 框架 、 应 用 程序 服务 器 、Web 服务 器 、 数 据 库 服务 器 和 平 
人 台 定 义 和 执 行 安全 配置 。 由 于 许多 设置 的 默认 值 并 不 是 安全 的 ,因此 必须 定义 、 设 置 和 维 
护 这 些 配置 。 此 外 ,所 有 软件 都 应 保持 及 时 更 新 。 


6. 敏感 信息 泄漏 

许多 Web 应 用 程序 和 API 都 没有 正确 地 保护 敏感 数据 ,如 财务 、 医 疗 保健 和 PII。 
攻击 者 可 能 会 窃取 或 自 改 此 类 弱 保 护 的 数据 ,进行 信用 卡 欺 骗 . 身 份 窃取 或 其 他 犯罪 行 
为 。 敏 感 数据 的 保护 应 受到 额外 重视 ,如 在 存放 或 在 传输 过 程 中 进行 加 密 , 以 及 与 浏览 器 
交换 时 进行 特殊 的 预防 措施 。 

7. 攻击 检测 与 防护 不 足 

大 多 数 的 应 用 和 API 都 缺乏 检测 、 预 防 和 响应 手动 或 自动 化 攻击 的 能 力 。 攻 击 保护 
措施 不 限于 基本 输入 验证 ,还 应 具备 自动 检测 、 记 录 、 响 应 ,甚至 阻止 攻击 的 能 力 。 应 用 所 
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有 者 还 应 能 够 快速 部 署 安全 补丁 ,以 防御 攻击 。 


8. 跨 站 请 求 伪 造 

跨 站 请 求 伪造 (CSRF) 攻 击 能 迫使 登录 用 户 的 浏览 器 将 伪造 的 HTTP 请 求 ,包括 受害 
者 的 会 话 Cookie 和 所 有 其 他 自动 填充 的 身份 认证 信息 ,发 送 到 一 个 存在 漏洞 的 Web 应 用 程 
序 。 这 种 攻击 迫使 受害 者 的 浏览 器 生成 一 个 请 求 ,使 得 应 用 程序 认为 存在 的 漏洞 是 合法 的 。 


9. 使 用 含有 已 知 漏洞 的 组 件 

组 件 具 有 与 应 用 程序 相同 的 权限 ,如 库 文件 ,框架 和 其 他 软件 模块 等 。 如 果 一 个 带 有 
漏洞 的 组 件 被 利用 ,这 种 攻击 就 可 以 造成 严重 的 数据 丢失 ,甚至 使 服务 器 被 攻击 者 接管 。 
应 用 程序 和 API 使 用 带 有 已 知 漏洞 的 组 件 可 能 会 破坏 应 用 程序 的 防御 系统 ,并 提高 了 攻 
击 者 利用 潜在 安全 威胁 的 可 能 性 。 


10. 未 受 有 效 保护 的 API 

现代 应 用 程序 通常 涉及 丰富 的 客户 端 应 用 程序 和 API, 如 浏览 器 和 移动 App 中 的 
JavaScript, 其 常 与 某 类 API( 远 程 工程 调用 RPC JavaScript 前 端 应 用 程序 工具 集 GWT 
等 ) 连 接 ,这 些 API 通常 是 不 受 保护 的 ,并 且 包 含 许 多 漏洞 。 

2017 年 OWASP Top 10 应 用 安全 漏洞 对 应 漏洞 因素 总 结 见 表 6-2 。 


表 6-2 2017 年 OWASP Top 10 应 用 安全 漏洞 对 应 漏洞 因素 总 结 


序号 漏洞 名 称 可 利用 性 普遍 性 可 检测 性 影响 
1 注入 易 常见 - 般 严重 
2 失效 的 身份 认证 和 会 话 管 理 - 般 常见 - 般 严重 
有 跨 站 脚本 - 般 非常 广泛 - 般 中 等 
4 失效 的 访问 控制 易 广泛 易 中 等 
5 安全 配置 错误 易 常见 易 中 等 
6 敏感 信息 泄漏 难 少见 一 般 严重 
7 攻击 检测 与 防护 不 足 易 常见 - 般 中 等 
8 跨 站 请 求 伪造 般 少见 易 中 等 
9 使 用 含有 已 知 漏洞 的 组 件 一 般 常见 一 般 中 等 
10 未 受 有 效 保护 的 API 般 常见 难 中 等 


6.4 Web 漏洞 扫描 


6.4.1 Web 漏洞 扫描 方式 


Web 漏洞 扫描 方式 一 般 分 为 主动 扫描 和 被 动 扫描 两 种 。 
主动 扫描 的 检测 过 程 和 搜索 引擎 的 怜 虫 抓 取 差 不 多 ,检测 程序 首先 从 网 站 首页 开始 
检测 ,之 后 根据 首页 上 的 链接 逐 层 遍历 检测 下 面 各 级 页 面 。 主 动 扫描 是 网 站 安全 检测 的 
主要 手段 ,一 般 每 个 月 进行 一 次 ,相当 于 定期 给 网 站 做 一 次 全 面体 检 。 
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主动 扫描 也 有 3 点 不 足 : 一 是 全 站 “体检 ”, 工 作 量 较 大 ,所 以 检测 不 宜 过 于 频繁 ;二 
是 两 次 "体检 ”之 间 新 增 的 网 站 页 面 得 不 到 及 时 有 效 的 检查 ,可 能 出 现 风险 ;三 是 某 些 孤岛 
页 面 得 不 到 检测 ,安全 扫描 存在 死角 。 

所 谓 孤 岛 页 面 ,是 指 不 与 任何 其 他 网 页 发 生 关联 的 网 站 页 面 。 也 就 是 说 ,不 可 能 通过 
任何 一 个 已 经 打开 的 网 页 上 的 链接 点 开 一 个 孤岛 页 面 ,也 不 可 能 通过 搜索 引擎 搜索 到 孤 
岛 页 面 。 孤 岛 页 面 并 不 是 偶然 的 ,而 是 普遍 存在 的 。 例 如 ,网 站 搞活 动 临时 生成 了 一 个 页 
面 ,活动 过 后 ,页面 就 可 能 成 为 一 个 孤岛 页 面 ;研发 人 员 在 开发 过 程 中 生成 的 不 对 外 的 临 
时 页 面 ,也 是 孤岛 页 面 。 

为 了 弥补 主动 扫描 的 不 足 , 专 家 们 又 提出 了 被 动 扫描 技术 。 被 动 扫描 技术 是 指 在 网 
站 入 口 处 对 用 户 访 问 进 行 监测 ,用 户 访问 了 哪个 页 面 ,检测 程序 就 对 哪个 页 面 进行 检测 ， 
不 论 这 个 页 面 此 前 对 于 检测 程序 来 说 是 否 已 知 。 被 动 扫描 技术 可 以 时 刻 运行 ,一 般 没有 
周期 限制 ,可 以 快速 对 网 站 新 生 页 面 和 被 访问 的 孤岛 页 面 形 成 有 效 的 检测 。 

主动 扫描 和 被 动 扫描 是 两 种 互补 的 技术 ,不 能 互相 替代 ,都 是 网 站 安全 检测 的 必要 技 
术 。 不 过 ,需要 说 明 的 是 ,自动 化 扫描 的 效率 较 高 ,速度 较 快 ,但 也 并 非 所 有 的 漏洞 都 可 以 
通过 自动 化 的 方法 进行 扫描 , 绝 大 多 数 的 事件 型 漏洞 只 能 通过 人 工 挖掘 的 方式 发 现 。 

除了 漏洞 扫描 外 , 现 如 今 , 网 站 安全 检测 技术 还 能 对 网 页 上 的 恶意 自 改 . 黑 词 黑 链 、 挂 
马 程序 等 进行 自动 检测 。 

那么 ,既然 漏洞 能 够 进行 自动 检测 ,是 否 有 可 能 对 黑客 发 起 的 漏洞 攻击 进行 自动 防护 
呢 ? 当然 能 。 事 实 上 ,知道 了 某 个 漏洞 的 扫描 方法 ,也 就 可 以 提取 出 利用 漏洞 进行 攻击 的 
代码 特征 ,之 后 ,只 要 对 来 自 网 络 的 访问 请 求 进行 自动 检测 ,就 可 以 抵御 相应 的 漏洞 攻击 。 
这 也 是 现代 网 络 安全 防护 技术 的 重要 基础 之 一 。 


6.4.2 ”常见 的 Web 漏洞 扫描 方法 


1. 注入 漏洞 扫描 

确认 所 有 解释 器 的 使 用 都 明确 地 将 不 可 信 数 据 从 命令 语句 或 查询 语句 中 区 分 出 来 。 
如 果 有 可 能 ,建议 避免 或 禁用 解释 器 。 对 于 SQL 调用 ,这 就 意味 着 在 所 有 准备 语句 
(prepared statements) 和 存储 过 程 (stored procedures) 中 使 用 绑 定 变量 (bind variables ) ， 
并 避免 使 用 动态 查询 语句 。 

检查 应 用 程序 是 否 安全 使 用 解释 器 的 最 快 . 最 有 效 的 方法 是 代码 审查 ,代码 分 析 工 具 
能 帮助 安全 分 析 者 找到 使 用 解释 器 的 代码 并 追踪 应 用 的 数据 流 , 代 码 测试 者 可 以 通过 模 
拟 攻击 的 方式 确认 这 些 漏洞 。 

可 执行 应 用 程序 的 自动 动态 扫描 器 也 能 够 提供 一 些 信息 ,帮助 确认 可 利用 的 注入 漏 
洞 是 否 存在 。 

2. 失效 的 身份 认证 和 会 话 管理 漏洞 扫描 

依次 扫描 以 下 可 能 产生 漏洞 的 情况 : 

Q@ 用 户 身 份 验证 凭证 没有 使 用 哈 希 或 加 密 保 护 。 

@ 认证 凭证 可 猜 解 ,或 者 能 够 通过 薄弱 的 账户 管理 功能 (如 账户 创建 .密码 修改 、 密 
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码 恢复 、 弱 会 话 ID) 重 写 。 

@ 会 话 ID 暴露 在 URL 里 (如 URL 重 写 ) 。 

@ 会 话 ID 容易 受到 会 话 固定 (session fixation) 的 攻击 。 

@@ 会 话 ID 没有 超时 限制 ,或 者 用 户 会 话 或 身份 验证 令 牌 (特别 是 单 点 登录 令 牌 ) 在 
用 户 注销 时 没有 失效 。 

@ 成 功 注册 后 ,会话 ID 没有 轮转 。 

@ 密码 会话 ID 和 其 他 认证 凭据 使 用 未 加 密 连接 传输 。 


3. 跨 站 脚本 漏洞 扫描 

如 果 服 务 器 端 代码 使 用 用 户 提 供 的 输入 作为 HTML 输出 的 一 部 分 , 且 没 有 使 用 转 
义 , 那 么 就 存在 服务 器 端 XSS 漏洞 。 

如 果 一 个 网 页 使 用 JavaScript 动态 添加 攻击 者 可 控 的 数据 到 一 个 网 页 ,那么 就 存在 
客户 端 XSS 漏洞 。 

自动 化 工具 能 够 自动 扫描 一 些 跨 站 脚本 漏洞 。 然 而 ,每 个 应 用 程序 使 用 不 同 的 方式 
生成 输出 页 面 ,并 且 使 用 不 同 的 浏览 器 端 解释 器 ,如 JavaScript、ActiveX、Flash 和 
Silverlight, 有 时 还 会 使 用 基于 这 些 库 之 上 的 第 三 方 库 , 这 就 使 得 自动 化 检测 变 得 非常 困 
难 。 因 此 ,只 有 在 自动 检测 的 基础 上 结合 人 工 代码 审核 和 手动 模拟 渗透 测试 ,才能 全 面 覆 
盖 扫 描 漏洞 。 


4. 失效 的 访问 控制 漏洞 扫描 

验证 所 有 数据 和 函数 引用 是 否 有 适当 的 防御 机 制 : 

Q@ 对 于 数据 引用 ,应 用 程序 应 使 用 引用 映射 或 访问 控制 检查 ,以 确保 用 户 对 该 数据 
的 授权 。 

@ 对 于 私有 功能 请 求 , 应 用 程序 应 进行 用 户 身 份 验证 ,确保 其 具有 使 用 该 函数 所 需 
的 角色 或 权限 。 

对 应 用 程序 进行 代码 审查 和 手动 模拟 渗透 测试 是 找 出 失效 访问 控制 的 有 效 方法 。 然 
而 ,自动 化 工具 通常 无 法 检测 到 该 漏洞 ,因为 它们 无 法 识别 哪些 需要 保护 .哪些 是 安全 或 
不 安全 的 。 


5. 安全 配置 错误 漏洞 扫描 

安全 配置 错误 漏洞 扫描 的 步骤 如 下 。 

名 检测 软件 是 否 及 时 更 新 ,包括 操作 系统 .Web/ 应 用 服务 器 ,数据库 管 理 系统 .应 用 
程序 、API 和 其 他 所 有 的 组 件 和 库 文件 。 

@ 检测 是 否 使 用 或 安装 了 不 必要 的 功能 (如 端口 \ 服 务 、 网 页 账户、 权限) 。 

@ 检测 默认 账户 的 密码 是 否 仍然 可 用 或 没有 更 改 。 

@ 检测 错误 处 理 机 制 是 否 防止 堆栈 跟踪 。 

@ 检测 应 用 服务 器 .应 用 框架 . 库 文件 ,数据库 等 是 否 进行 了 安全 配置 。 


mm 第 6 章 Web 系统 漏洞 及 其 防范 措施 mm 


6. 敏感 信息 泄漏 漏洞 扫描 

需要 确认 哪些 数据 是 敏感 数据 而 需要 被 加 密 。 例 如 ,密码 、 信 用 卡 、 医 疗 记录 ,个 人 信 
息 应 该 被 加 密 。 对 于 这 些 数据 ,要 确保 : 

@ 当 这 些 数据 和 其 备份 被 长 期 存储 的 时 候 , 无 论 存 储 在 哪里 ,都 需要 加 密 。 

@ 无 论 是 内 部 数据 ,还 是 外 部 数据 ,都 不 应 明文 传输 。 在 互联 网 中 传输 明文 数据 是 
非常 危险 的 。 

@ 不 应 使 用 任何 旧 的 或 脆弱 的 加 密 算法 。 

@ 加 密 密 钥 的 生成 应 当 是 安全 的 ,同时 要 保证 密 钥 管理 和 密 钥 回 转 的 安全 性 。 

@ 当 浏 览 器 接收 或 发 送 敏感 数据 时 ,应 保证 浏览 器 安全 指令 和 头 文件 不 丢失 。 


7. 应 对 攻击 防护 不 足 漏洞 扫描 

手动 模拟 攻击 或 者 运行 扫描 器 ,检测 系统 是 否 具有 攻击 检测 和 响应 功能 。 系 统 应 该 
识别 出 攻击 ,阻止 任何 可 能 的 攻击 ,并 提供 出 攻击 者 的 具体 信息 以 及 攻击 的 类 型 。 

对 系统 的 攻击 防护 能 抵御 的 攻击 类 型 进行 评估 ,同时 使 用 一 些 技术 ,如 WAF、RASP 
和 OWASP AppSensor 以 及 漏洞 的 虚拟 补丁 检测 和 阻止 攻击 。 


8. 跨 站 请 求 伪 造 漏洞 扫描 

查看 每 个 链接 和 表单 是 否 有 跨 站 请 求 伪 造 (CSRF) 令 牌 且 是 不 可 预测 的 。 若 没有 令 
牌 , 则 必须 要 求 用 户 证 明 是 他 们 要 提交 请 求 , 如 重新 认证 , 则 攻击 者 就 能 够 伪造 恶意 请 求 。 
注意 ,会 话 Cookie、 源 IP 地 址 和 其 他 浏览 器 自动 发 送 的 信息 不 能 作为 防 攻击 令 牌 ,因为 
这 些 信 息 已 经 包含 在 伪造 的 请 求 中 。 

重点 扫描 调用 后 能 够 改变 状态 功能 的 链接 和 表单 ,因为 这 些 链接 和 表单 是 跨 站 请 求 
伪造 攻击 的 最 重要 的 目标 。 


9. 使 用 含有 已 知 漏洞 的 组 件 漏洞 扫描 

应 当 不 间断 地 搜索 这 些 组 件 的 漏洞 数据 库 , 同 时 还 要 关注 大 量 的 邮件 列表 和 可 能 包 
含 漏洞 发 布 的 公告 信息 。 这 个 过 程 可 以 手动 完成 ,也 可 以 使 用 自动 化 工具 完成 。 

现实 情况 中 ,漏洞 报告 中 的 描述 可 能 比较 模糊 ,因此 ,一 旦 检测 到 代码 中 使 用 了 具有 
漏洞 的 组 件 ,就 应 立即 检测 该 漏洞 对 业务 会 造成 何 种 影响 ,并 进行 修复 。 


10. 未 受 有 效 保护 的 API 漏洞 扫描 

由 于 API 一 般 是 设计 给 程序 而 不 是 人 使 用 :不 提供 UI, 使 用 的 协议 和 数据 结果 比 
较 复 杂 , 因 此 安全 扫描 会 比较 困难 。 但 扫描 API 的 漏洞 与 扫描 一 般 应 用 层面 的 漏洞 相 
似 ,各 种 注入 、 认 证 ,访问 控制 .加 密 、 配 置 等 普通 应 用 程序 存在 的 问题 在 API 中 一 样 会 
存在 。 

总 之 ,对 API 的 扫描 与 上 述 各 种 方法 相同 ,但 设计 的 扫描 策略 需要 考虑 全 面 的 安全 
防御 措施 。 
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全 -局 Web 漏洞 处 理 


1. 注入 漏洞 处 理 

防止 注入 漏洞 需要 将 不 可 信 数 据 从 命令 及 查询 中 区 分 开 。 

@ 最 佳 选择 是 使 用 安全 的 API, 完 全 避免 使 用 解释 器 或 提供 参数 化 界面 的 API。 但 
要 注意 ,有 些 参数 化 的 API 如 果 使 用 不 当 , 仍 然 可 能 引入 注入 漏洞 。 

@ 如 果 不 能 使 用 参数 化 的 API, 那么 就 应 该 使 用 解释 器 的 escape 语法 避免 特殊 
字符 。 
@ 使 用 白 名 单 的 具有 规范 化 的 输入 验证 方法 同样 会 有 助 于 防止 注入 攻击 。 但 由 于 
很 多 应 用 在 输入 中 需要 特殊 字符 ,所 以 这 一 方法 不 是 通用 的 防护 方法 。 


2. 失效 的 身份 认证 和 会 话 管理 漏洞 处 理 

开发 人 员 应 使 用 如 下 资源 。 

a 一 套 单独 的 、 强 大 的 认证 和 会 话 管理 控制 系统 。 这 套 控制 系统 应 满足 OWASP 的 
应 用 程序 安全 验证 标准 (ASVS) 中 V2( 认 证 ) 和 V3( 会 话 管理 ) 中 制定 的 所 有 认证 和 会 话 
管理 的 要 求 , 同 时 还 应 具有 简单 的 开发 界面 ,具体 可 以 仿照 .使 用 或 扩展 ESAPI(ESAPI 
是 OWASP 提供 的 一 套 API 级 别 的 Web 应 用 解决 方案 ) 认 证 器 和 用 户 API。 

@ 企业 同样 也 要 做 出 巨大 努力 避免 跨 站 漏洞 ,因为 这 一 漏洞 可 用 来 盗窃 用 户 会 
话 ID。 

3. 跨 站 脚本 漏洞 处 理 

防止 XSS 需要 将 不 可 信 数 据 与 动态 的 浏览 器 内 容 区 分 开 。 

@ 为 了 避免 服务 器 XSS, 最 好 的 办 法 是 根据 数据 将 要 置 于 的 HTML 上 下 文 ( 包 括 主 
体 、 属 性 JavaScript\CSS 或 URL) 对 所 有 的 不 可 信 数 据 进行 恰当 的 转 义 。 

@ 为 了 避免 客户 端 XSS ,最 好 的 选择 是 避免 传递 不 受信 任 的 数据 到 JavaScript 和 可 
以 生成 活动 内 容 的 其 他 浏览 器 API。 如 果 不 能 避免 这 种 情况 ,就 可 以 在 浏览 器 API 中 采 
用 上 下 文敏 感 的 转 义 技术 。 

@ 考虑 使 用 内 容 安全 策略 (CSP) 抵 御 整 个 网 站 的 跨 站 脚本 攻击 。 


4. 失效 的 访问 控制 漏洞 处 理 

要 预防 失效 的 访问 控制 ,需要 选择 一 个 适当 的 方法 保护 每 个 功能 和 每 种 数据 类 型 (如 
对 象 号 码 ,文件 名 ) 。 

中 检查 访问 。 任 何 来 自 不 可 信 源 的 直接 对 象 引用 都 必须 通过 访问 控制 检测 ,确保 该 
用 户 对 请 求 的 对 象 有 访问 权限 。 

@ 使 用 基于 用 户 或 者 会 话 的 间接 对 象 引 用 ,这 样 能 防止 攻击 者 直接 攻击 未 授权 资 
源 。 例 如 ,一 个 下 拉 列 表 包 含 6 个 授权 给 当前 用 户 的 资源 , 它 可 以 使 用 数字 1 一 6 指示 哪 
个 是 用 户 选 择 的 值 ,而 不 是 使 用 资源 的 数据 库 关 键 字 表示 。 

@ 自动 化 验证 。 利 用 自动 化 验证 正确 地 授权 部 署 。 
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5. 安全 配置 错误 漏洞 处 理 

要 预防 安全 配置 错误 漏洞 处 理 , 需 要 提供 合 规 性 控制 ,在 所 有 环境 中 都 能 安全 设置 和 
配置 的 安装 过 程 。 

@ 部 署 过 程 应 快速 ,简单 且 可 重复 。 开 发 .质量 保证 和 生产 环境 都 应 该 配置 相同 (每 
个 环境 中 分 别 使 用 不 同 的 密码 )。 这 个 过 程 应 该 是 自动 化 的 ,尽量 减少 安装 一 个 新 安全 环 
境 的 耗费 。 

@ 软件 更 新 和 补丁 应 能 随时 查看 、 及 时 部 署 并 保持 最 新 ,包括 通常 被 忽略 的 所 有 组 
件 和 库 文件 。 

@ 应 用 程序 架构 应 能 在 组 件 之 间 提 供 有 效 的 分 离 且 安全 性 强 。 

@ 安全 配置 应 能 在 所 有 环境 中 正确 .自动 地 设置 。 


6. 敏感 信息 泄漏 漏洞 处 理 

对 一 些 需要 加 密 的 敏感 数据 ,应 做 到 以 下 几 点 。 

@ 对 内 部 攻击 和 外 部 威胁 有 所 预测 ,对 敏感 数据 加 密 存 储 ,以 确保 免 受 这些 威 胁 。 

@ 对 于 没 必要 存放 的 、 重 要 的 敏感 数据 ,应 当 尽快 清除 。 

@@ 确保 使 用 了 合适 的 标准 算法 和 强大 的 密 匙 ,并 且 密 匙 管理 到 位 。 

@ 确保 使 用 密码 专用 算法 存储 密码 ,如 bcrypt( 使 用 blowfish 加 密 算法 的 文件 加 密 
工具 ) .PBKDF2( 使 用 伪 随 机 参数 导出 密 钥 加 密 的 工具 ) 或 者 scrypt( 由 知名 黑客 Collin 
Percival 开发 的 加 密 工 具 )。 

@ 禁用 包含 敏感 数据 的 表单 的 自动 完成 功能 ,以 防止 敏感 数据 收集 ;禁用 包含 敏感 
数据 的 缓存 页 面 。 


7. 应 对 攻击 防护 不 足 漏洞 的 处 理 

充分 的 攻击 防护 应 该 包括 以 下 3 方面 内 容 。 

@ 检测 攻击 。 检 测 不 符合 合法 用 户 操作 的 异常 行为 ,如 合法 用 户 不 可 能 创造 出 的 输 
入 ,输入 速度 过 快 .不合 规 则 的 输入 , 非 正常 的 使 用 模式 .重复 的 请 求 等 。 

@ 响应 攻击 。 日 志和 通知 对 于 及 时 的 响应 非常 重要 ,需要 考虑 是 否 对 于 某 个 IP 或 
者 一 个 IP 网 段 实施 自动 阻止 ,以 及 是 否 对 异常 的 用 户 账号 进行 禁用 或 者 监控 。 

@ 虚拟 补丁 。 发 现 高 危 漏洞 后 , 若 无 法 在 短 时 间 内 发 布 补丁 进行 解决 ,可 以 尝试 部 
署 一 个 虚拟 补丁 分 析 HTTP 流量 、 数 据 流 、 代 码 执行 ,并 且 防 止 漏洞 被 利用 。 


8. 跨 站 请 求 伪 造 漏洞 处 理 

优先 考虑 利用 已 有 的 CSRF 防护 方案 。 许 多 框架 ,如 Spring、Play、Django 以 及 
AngularJS 等 ,都 内 媒 了 CSRF 防护 ;一 些 Web 开发 语言 ,如 Net, 也 提供 了 类 似 的 防护 ， 
否则 应 当 在 每 个 HTTP 请 求 中 添加 一 个 不 可 预测 的 令 牌 ,这 种 令 牌 对 每 一 个 用 户 会 话 是 
唯一 的 。 

Qa 最 好 的 方法 是 将 独 有 的 令 牌 包含 在 一 个 隐藏 字段 中 。 这 将 使 得 该 令 牌 通过 
HTTP 请 求 体 发 送 , 避 人 免 其 包含 在 URL 中 ,从 而 被 暴露 出 来 。 

@ 将 令 牌 放 在 URL 中 或 作为 一 个 URL 参数 ,但 是 这 种 方法 有 把 令 牌 暴露 给 攻击 者 
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的 风险 。 
@ 对 所 有 Cookie 使 用 *SameSite 王 strict?” 标 签 ,该 标签 逐渐 被 各 类 浏览 器 所 支持 。 


9. 使 用 含有 已 知 漏洞 的 组 件 漏洞 处 理 

很 多 第 三 方 组 件 项 目 对 旧版 本 并 不 发 布 补丁 ,唯一 的 解决 方案 就 是 升级 到 下 一 个 版 
本 ,而 这 可 能 需要 更 改 代码 。 软 件 项 目 应 该 遵循 下 面 的 流程 。 

@ 利用 工具 (如 versions\DependencyCheck ,retire .JavaScript 等 ) 持续 记 录 客 户 端 
和 服务 器 端的 版 本 以 及 它们 的 依赖 库 的 版 本 信息 。 

@ 使 用 自动 化 工具 对 使 用 的 组 件 持续 监控 。 

@@ 在 升级 组 件 前 分 析 它 们 是 否 在 程序 运行 的 时 候 被 调用 到 了 ,很 多 组 件 其 实 从 来 没 
被 加 载 或 调用 过 。 

由 决定 到 底 是 升级 组 件 ( 如 果 必 要 ,可 能 需要 重 写 应 用 代码 与 之 匹配 ) ,还 是 部 署 一 
个 虚拟 补丁 分 析 HTTP 流量 .数据 流 .代码 执行 防止 漏洞 被 利用 。 


10. 未 受 有 效 保护 的 API 漏洞 处 理 

保护 API 的 关键 是 全 面 理解 威胁 模型 ,了 解 所 有 可 用 的 防御 措施 。 

@ 确保 客户 端 和 API 之 间 通 过 安全 信道 进行 通信 。 

@ 确保 API 有 强 安全 级 别 的 认证 模式 ,并 且 所 有 的 凭据 、 密 钥 、 令 牌 都 得 到 保护 。 
@ 无 论 使 用 哪 种 数据 格式 ,解析 器 都 应 当做 好 安全 加 固 ,防止 攻击 。 

@ 为 API 访问 实现 权限 控制 ,防止 不 当 访 问 , 包 括 未 授权 的 功能 访问 和 数据 引用 。 
@@ 防护 各 种 形式 的 注入 攻击 ,因为 攻击 这 些 API 和 攻击 普通 应 用 是 一 样 的 。 

@ 确保 安全 分 析 和 测试 涵盖 所 有 的 API, 确 保安 全 工具 能 有 效 地 发 现 和 分 析 它 们 。 


6 Web 漏洞 的 发 展 趋势 


1. 数据 窃取 变 成 数据 操作 

网 络 安全 漏洞 的 一 个 趋势 是 ,网 络 犯罪 分 子 将 他 们 的 技术 从 数据 窃取 和 网 站 黑客 攻 
击 转 为 破坏 数据 的 完整 性 。 与 纯粹 的 数据 窃取 相 比 ,这 种 网 络 安全 漏洞 会 导致 企业 业务 
长 期 受 损 ,并 对 企业 声誉 造成 损害 。 

2. 针对 消费 者 设备 进行 攻击 

对 于 所 有 组 织 机 构 ,勒索 赎金 都 是 一 个 重要 的 安全 问题 。 最 近 , 网 络 犯罪 分 子 开始 针 
对 消费 者 的 各 种 网 络 连接 设备 进行 攻击 。 例 如 ,网 络 犯罪 分 子 会 通过 攻击 智能 手机 对 消 
费 者 进行 勒索 ,要 求 其 支付 一 笔 赎金 解锁 。 

3. 攻击 者 更 大 胆 .更 商业 化 .更 难 追 踪 

网 络 犯罪 分 子 已 经 变 得 更 加 商业 化 和 组 织 化 ,甚至 可 能 部 署 了 他 们 的 个 人 呼叫 中 心 ， 
建立 假冒 的 约会 网 站 就 是 这 种 类 型 的 网 络 违法 行为 。 这 些 网 络 罪犯 喜欢 在 对 网 络 犯罪 制 
裁 较 少 的 国家 开展 活动 ,以 把 自己 置 于 警察 管辖 范围 外 。 
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4. 违法 行为 更 加 复杂 和 难以 击败 

网 络 罪犯 采用 更 先进 的 方式 改进 勒索 赎金 的 恶意 活动 ,有 些 勒 索 软 件 已 经 开始 使 用 
新 的 系统 传播 感染 ,这 种 感染 通过 使 用 金字 塔 式 的 折扣 诱 使 受害 者 变 成 攻击 者 。 例 如 , 若 
原来 的 受害 者 将 他 的 赎金 连接 分 享 给 两 个 以 上 的 人 ,并 将 他 们 的 文件 加 密 , 原 受害 者 的 文 
件 将 被 免费 解密 。 


5. 云 安全 的 挑战 

云 存储 组 织 的 数据 逐渐 成 为 网 络 犯罪 分 子 的 目标 ,为 云 计算 带 来 了 一 系列 新 的 安全 
挑战 。 这 些 安全 挑战 包括 保护 数据 完整 性 、 排 除 技术 故障 等 。 网 络 犯 罪 分 子 使 用 复杂 的 
应 用 程序 攻击 和 修改 云端 数据 ,如 安全 密 钥 和 账户 凭证 。 大 多 数组 织 更 容易 受到 网 络 安 
全 漏洞 的 攻击 ,因为 他 们 认为 他 们 的 第 三 方 安 全 厂商 正在 保护 他 们 的 数据 。 


6. 内 部 数据 泄漏 的 主要 来 源 是 应 用 程序 

人 们 发 现 , 诸 如 移动 设备 、 商 业 、 桌 面 或 网 络 应 用 等 应 用 程序 都 是 数据 泄漏 的 主要 来 
源 。 这 些 应 用 程序 很 容易 成 为 网 络 犯罪 分 子 的 目标 ,因为 这 些 应 用 程序 并 非 专门 为 安全 
而 构建 ,而 是 为 其 他 目的 而 构建 ,这 使 黑客 有 机 会 通过 下 载 使 用 恶意 代码 构建 的 应 用 程序 
跨越 和 窃取 数据 。 作 为 企业 所 有 者 或 IT 专业 人 员 ,需要 将 网 络 安全 作为 战略 重点 ,这 对 
于 确保 其 组 织 能 够 应 对 下 一 代 网 络 安全 漏洞 至 关 重 要 。 


7 Web 指纹 识别 技术 


信息 收集 是 渗透 测试 环节 的 一 个 非常 重要 的 阶段 , 它 关 系 到 后 序列 策划 攻击 的 成 功 
性 。 快 速 收集 目标 服务 信息 则 需要 测试 人 员 熟 练 运用 指纹 识别 技术 。 


1. 指纹 识别 概念 

组 件 是 网 络 空间 最 小 单元 , Web 应 用 程序 数据 库 、 中 间 件 等 都 属于 组 件 。 指 纹 是 组 
件 上 能 标识 对 象 类 型 的 一 段 特征 信息 ,用 来 在 渗透 测试 信息 收集 环节 中 快速 识别 目标 服 
务 。 互 联网 随时 代 的 发 展 逐 渐 成 熟 ,大批 应 用 组 件 等 产品 在 厂商 的 引导 下 走向 互联 网 ,这 
些 应 用 程序 因 功 能 性 、 易 用 性 被 广大 用 户 所 采用 。 大 部 分 应 用 组 件 存 在 足以 说 明 当 前 服 
务 名 称 和 版 本 的 特征 ,识别 这 些 特征 可 获取 当前 服务 信息 ,从 而 进行 一 系列 渗透 测试 
工作 。 


2. 指纹 识别 方式 
不 同 应 用 组 件 的 指纹 识别 方式 有 所 不 同 ,下面 是 常见 的 5 种 识别 方式 。 
Q@ 特殊 文件 的 MD5 值 匹 配 。 
@ 请 求 响应 主体 内 容 或 头 信 息 的 关键 字 匹 配 。 
@ 请 求 响应 主体 内 容 或 头 信息 的 正则 匹配 。 
@ 基于 URL 关键 字 识别 。 
@ 基于 TCP/IP 请 求 协议 识别 服务 指纹 。 
89 


EGG 漏洞 扫描 与 防护 ”EGG 


3. 指纹 识别 详解 

(1) 相关 厂商 的 内 容 管理 系统 (Content Management System,CMS) 程 序 文件 包含 
说 明 当 前 CMS 名 称 及 版 本 的 特征 码 ,如 Discuz 官网 下 的 robots. txt 文件 ,如 图 6-4 
所 示 。 


> GC | © www.discuz.neV/robotstxt 


# robots txt tor I 
大 


Dizallow: /api php 

Disallow: /nisc. Le 

Disallow: /cormect. 

Disallow: ee 
pe 


Disallow: /*mobile=yess 


图 6-4 ”robots. txt 文件 


(2) 计算 网 站 所 使 中 间 件 或 CMS 目录 下 静态 文件 的 MD5 值 ,MD5 码 可 以 唯一 地 代 
表 原 信息 的 特征 。 静 态 文件 包括 HTML、JS、CSS、Image 等 ,建立 在 站 点 静态 文件 存在 的 
情况 下 访问 ,如 Dedecms 官网 下 网 站 根 目 录 URL*/img/buttom_logo. gif” 图 片 文件 。 文 
件 MD5 校 验 工具 图 如 图 6-5 所 示 。 


文 HS deb6364f626100s6c6c6c6sdk56b48be 


图 6-5 文件 MD5 校 验 工具 图 


(3) 请 求 访问 外 网 端口 映射 设备 ,获取 其 响应 头 信 息 。 根 据 相关 规则 匹配 特征 字符 ， 
如 图 6-6 所 示 。 

(4) TCP/IP 协议 簇 通信 交互 ,IP 用 来 把 逻辑 地 址 分 配 到 网 络 机 器 ,TCP 使 用 网 络 
公认 方式 传送 IP 数据 包 。 网 络 上 的 通信 交互 均 通过 TCP/IP 协议 簇 进行 ,操作 系统 也 
必须 实现 该 协议 。 操 作 系 统 根据 不 同 数据 包 做 出 不 同 反 应 。 可 以 使 用 测试 工具 ,通过 
向 目标 主机 发 送 协议 数据 包 并 分 析 其 响应 信息 ,进行 操作 系统 指纹 识别 工作 ,如 图 6-7 
所 示 。 
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Name X Hesders Preven Response Cookies Timing 
indexLhtmi “| v General 
| topyeccss | Request URL: nttos: / /lB incexl .ntel 

Ws | Request Method: GET 
= Status Code: © 208 Ox 
El login.er_msgjp 用。 Remote Address: memes 
Ding | Reterrer Policy: no-referrer -uhen-Congrece 
El loginjs | vResponse Headers ~ view paried 
了 ] sottkeybosrdjs | HTTP/1.1 200 区 
fogin ripng 1 Date: Sun, 14 May 2617 87:49:55 GT 

Server: 
ss | 
二 | sdified: Fri, 3 Nov 2912 06:41:19 GT 
ci gid | : “3996-675b-scfb8af5acd89 
x ose gf | ccept-Kanges: bytes 
fontent-Length: 26507 

logn_blpns 

DP 4 ‘e: tineout=l, max=i00 
Ss tabsl gd | ": Keep-Alive 
口 tabxef [| Content -Type: text/htal 
口 megmpes YRequest Headers ~ wew source 


图 6-6 ”响应 头 信息 


图 6-7 TCP/IP 协议 簇 通信 交互 图 


(5) Socket 又 称 为 “ 套 接 字 ”, 应 用 程序 可 以 通过 “ 套 接 字 ” 向 网 络 发 出 请 求 或 者 应 答 


网 络 请 3 


Socket 对 TCP/IP 进行 封装 ,是 一 个 通信 和 链 的 句柄 。 扫 描 网 络 中 的 数据 存储 


服务 ,利用 Socket 编程 接口 获取 网 络 字符 输出 流 ,进行 指纹 识别 工作 。 
图 6-8 为 测试 工具 识别 文件 中 的 一 段 MySQL 数据 库 的 指纹 信息 。 


在 本 地 搭建 一 个 MySQL 2008 数据 库 , 使 用 Java 自 带 
192. 168. 1. 107 的 MySQL 数据 库 服 务 ,获取 Socket 字符 输 
十 进 制 字符 ,同时 获取 Socket 字符 输入 流 进 行 单字 节 转 码 ,4 


的 Socket API, Socket 请 求 
出 流 。 把 HEX 字符 转换 为 


后 4 位 字符 ) ,如 图 6-9 所 示 。 


成 一 串 十 六 进 制 字符 (去 除 


这 串 十 六 进 制 字符 用 以 识别 MySQL 数据 库 版 本 。 此 例子 的 识别 结果 如 图 6-10 


所 示 。 
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aavaouauaeuaaueausevacuosvtsuaauosuatuesueturrucavuosuaswssuoavueavosusauaausauatwteusautaunavpeuatuaveavteuseuoove 


NWOA\ VAff\ WAGB\ WXoB\ Veo1\ WXS5\ WXo0 \ WOON WoO\ ead \ WS3\ WS3\ VeS1\ Va WS3\ XGS \ U72\ Ve76 VxGS\ OAT2\ Vxo0\ Wa Wwof\ VxooN\| 
String[] tmpHex = .split("\\\x"); 
ByteArrayOutputStream o = new yteArrayOutputStream(); 
for (int i = 1; 1 < tmpHex-length; it+) { 


iint tmp = Integer .parseInt(tmptiex[1], 16); 
o-write(tep); 


日 consolex| 


<terminated> App7 Uava Application] D:\ProgrammeVaval.8Vdk1.8\bin\javaw.exe (2017 年 5 月 16 日 下 午 9:17:43) 
PE 


图 6-9 用 以 识别 MySQL 数据 库 版 本 的 十 六 进 制 字符 


图 6-10 识别 结果 


“68 ”Web 认证 安全 
6.8.1 限制 访问 


1. 目的 
针对 特定 的 用 户 才能 访问 的 资源 ,以 及 针对 管理 员 角 色 才 能 进行 的 操作 等 ,需要 对 权 
限 有 差别 化 的 控制 。 
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2. 步骤 

1) 明确 基本 方针 

哪些 资源 (如 图 片 . 文 字 、 文 件 等 )、 哪 些 人 (如 匿名 用 户 、 注 册 用 户 、VIP 用 户 ,管理 员 
等 ) 可 以 进行 怎样 的 操作 。 

2) 授权 认证 


基于 既定 的 方针 ,会 有 不 特定 数 的 人 访问 的 站 点 (如 网 购 ), 是 哪些 人 在 页 面 上 做 了 哪 
些 操作 ,运营 方 可 能 需要 掌握 。 

这 时 就 需要 实现 认证 的 功能 ,如 常见 的 会 员 登 录 ,登录 后 单 击 “购买 "按钮 等 ,一 旦 被 
他 人 冒 用 ,就 会 造成 资金 等 利益 上 的 损失 。 

毕竟 在 网 络 上 ,用 户 们 都 看 不 见 对 方 , 风 险 很 高 。 因 此 ,用 户 只 能 通过 站 点 (尤其 是 数 
据 库 和 日 志 ) 收 集 到 的 各 种 信息 识别 对 方 。 

3) 方针 的 执行 

确认 了 本 次 访问 者 的 身份 ,并 且 判 定 了 本 次 其 想 要 进行 操作 的 有 效 性 之 后 , 才 人 允许 其 
进行 本 次 操作 。 就 算 确认 了 访问 者 是 注册 用 户 , 但 其 想 访问 VIP 用 户 的 资源 或 进行 相关 
操作 ,也 是 不 被 允许 的 。 


6.8.2 ”认证 的 种 类 
认证 是 指 核实 访问 者 身份 时 的 处 理 ,主要 分 为 所 知 .所 有 两 种 类 型 。 


1. 所 知 

目前 普遍 使 用 的 是 口令 认证 。 

这 种 只 有 本 人 才 知 道 的 信息 虽然 很 单纯 ,但 对 于 确认 访问 者 本 人 是 非常 有 效 的 方式 。 
该 信息 也 需要 加 密 , 即 便 是 技术 人 员 ,也 不 能 轻易 地 解密 ,从 而 在 最 大 程度 上 保护 了 用 户 
隐私 。 

此 外 ,被 攻击 (如 算 改 密码 等 ) 之 后 ,可 以 通过 找 回 密码 或 寻 问 秘密 问题 等 功能 ,比较 
容易 地 帮助 用 户 恢复 其 认证 信息 。 在 设计 及 开发 时 ,就 需要 做 到 未 雨 绸 缪 ,引入 这 些 
机 制 。 


2. 所 有 

经 过 权威 以 及 信用 机 构 发 行 的 电子 类 授权 物 可 以 是 在 浏览 器 上 事先 安装 的 插件 等 
(虚拟 式 ) ,也 可 以 是 USB 插入 计算 机 等 (物理 式 )。 就 算是 丢失 了 ,也 可 以 申请 重新 发 行 ， 
同时 让 原 有 物 失效 。 


6.8.3 密码 认证 的 设计 


字典 式 攻击 是 最 普遍 的 一 种 攻击 方式 。 
密码 的 位 数 过 少 ,或 者 密码 包含 自己 的 姓名 (字母 )、 生 日 、 电 话 号 码 等 相对 容易 被 推 
测 出 的 拼音 数字 ,被 成 功 破解 的 可 能 性 较 大 。 
当 用 户 在 注册 或 更 改 自 己 的 信息 时 ,系统 提示 不 合 规范 ,强制 性 让 重新 输入 ,在 设计 
和 开发 时 需要 引入 这 种 机 制 ,但 为 了 避免 引起 用 户 的 不 满 ,该 强制 性 规范 也 不 能 设 定 得 过 
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于 复杂 。 
只 要 输入 的 内 容 不 是 过 于 简单 的 ,就 尽量 不 要 硬性 规定 不 能 输入 哪些 字符 。 不 过 ,可 
以 根据 运 维 需要 规定 必须 输入 的 最 小 长 度 以 及 具体 字符 。 


6.8.4 封锁 账户 


1. 锁定 (字典 式 攻击 的 有 效 手 段 之 一 ) 

J 连续 输入 多 次 密码 , 均 与 实际 密码 不 符合 时 ,账户 即 被 封锁 。 

@ 如 果 一 段 时 期 内 锁定 后 自动 解锁 的 现象 出 现 2 次 以 上 ,并 且 系 统 判定 是 来 自 同一 
IP 时 ,就 需要 封锁 该 IP。 


2. 解锁 

Oa 一 定时 间 后 ,自动 解锁 。 

@ 强制 性 要 求 重新 设置 密码 。 

@ 由 运营 方 手动 解锁 。 安 全 性 要 求 较 严 格 的 情况 (如 银行 、 军 事 等 ), 需 要 本 人 提交 
书面 申请 方 可 解锁 。 


6.8.5 ”保护 密码 


1. 加 密 

一 旦 保存 密码 (以 及 用 户 名 等 登录 所 需 信息 ) 的 媒介 物 被 外 汇 , 涉 及 的 用 户 信 息 可 以 
轻易 被 窥视 ,后 果 极 其 严重 。 

不 过 ,如 果 事 前 引入 了 加 密 机 制 ,虽然 不 能 做 到 100% 保 障 密码 不 被 破解 ,至 少 也 可 
以 最 大 程度 地 增加 破解 的 成 本 。 


2. 加 密 的 技巧 

对 于 专业 黑客 来 说 ,字典 式 攻击 是 惯用 手段 。 所 以 ,如 果 只 对 密码 本 身 加 密 ,通过 字 
典 式 攻击 被 破解 的 成 本 也 会 相对 降低 。 

因此 ,比较 合适 的 方案 是 : 采用 用 户 名 十 密码 ,把 这 个 组 合作 为 整体 加 密 , 甚 至 还 可 
以 加 入 电话 号 码 或 生日 等 作为 组 合体 , 尽 可 能 地 增加 复杂 度 。 


3. 重 置 密码 

通过 算法 加 密 后 ,密码 内 容 不 可 逆向 恢复 。 

因此 ,在 设计 阶段 就 要 考虑 让 用 户 重 轩 新 密码 ,而 非 单纯 地 把 原 有 密码 提示 给 
用 户 。 


6.8.6 ”给 用 户 显示 错误 信息 的 技巧 

用 户 名 或 密码 输入 错误 后 无 法 通过 认证 ,这 时 需要 给 用 户 提示 相关 内 容 。 

不 管 是 用 户 名 错误 ,还 是 密码 错误 ,或 者 是 两 者 都 输入 错误 而 导致 无 法 通过 认证 , 原 
则 上 只 需要 向 用 户 显示 固定 统一 的 信息 ,而 非 * 错 哪 指 哪 "。 和 否则 ,如 果 显 示 “ 用 户 名 不 正 
确 ”“ 密 码 不 正确 ”等 信息 , 则 会 给 攻击 者 暴露 出 另 一 层 信息 ,具体 如 下 。 
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(1)“ 用 户 名 不 正确 ,意味 着 密码 应 该 正确 ”, 会 变相 鼓励 攻击 者 继续 对 用 户 名 进行 
排查 。 

(2)“ 密 码 不 正确 ,意味 着 用 户 名 应 该 正确 ”, 会 变相 鼓励 攻击 者 继续 对 密码 进行 
排查 。 


6.8.7 ”认证 时 记录 日 志 的 技巧 


不 能 把 密码 写 信 到 日 志文 件 中 保存 ,一 旦 涉及 注册 及 登录 信息 的 日 志文 件 被 外 泄 ,加 
密 也 无 济 于 事 。 

(1) 用 户 正 常 登录 ,直接 暴露 了 密码 信息 。 

(2) 用 户 输入 时 可 能 出 现 大 小 写 错 或 字数 错 ,或 者 是 忘记 了 密码 而 试 着 使 用 登录 其 
他 系统 所 用 的 密码 ,这 时 虽然 无 法 登录 本 系统 ,但 可 能 间接 对 其 他 系统 的 个 人 信息 产生 
威胁 。 


6.8.8 邮件 认证 


1. 新 注册 用 户 

注册 提交 时 ,会 给 用 户 输入 的 邮箱 发 一 封 邮 件 , 确 认 邮 箱 是 否 有 效 , 如 果 用 户 手 误 
输入 某 些 字符 .邮件 服务 已 经 停止 .机 器 人 注册 使 用 的 邮箱 等 ,都 会 无 法 正常 收 到 邮 
件 。 如 果 服 务 者 在 测试 时 自己 也 收 不 到 邮件 , 则 证 明 输入 有 问题 或 邮件 服务 本 身 出 了 
问题 。 


2. 已 注册 用 户 
修改 提交 时 ,与 新 注册 时 类 似 , 先 给 输入 的 新 邮箱 发 一 封 邮件 ,起 到 临时 确认 邮箱 是 
否 有 效 的 作用 。 


3. 邮箱 有 效 性 的 确认 

不 管 是 新 注册 ,还 是 已 注册 后 的 修改 ,都 需要 在 临时 确认 用 的 邮件 里 付 上 激活 链接 ， 
有 效 地 阻止 攻击 者 自 改 邮箱 。 

@ 新 注册 时 , 单 击 此 链接 即 完 成 正式 确认 ,后 续 系统 功能 即 可 使 用 。 

@ 修改 时 ,也 需 单 击 此 链接 完成 正式 确认 .同时 给 旧 邮 箱 发 一 封 邮件 ,说 明 此 次 修改 
了 邮箱 ,今后 旧 邮 箱 失效 。 


6.8.9 手机 号 认证 


手机 号 认证 与 邮箱 认证 有 相似 之 处 。 

(1) 给 用 户 输入 的 手机 号 发 一 条 短信 ,用 于 临时 确认 。 其 中 写 有 认证 码 , 如 果 无 法 收 
到 , 则 证 明 号 码 输入 有 问题 。 

(2) 提交 后 ,系统 会 提示 输入 收 到 的 认证 码 , 在 规定 的 时 间 内 输入 认证 码 后 再 次 提交 
即 证 明 该 手机 号 是 用 户 本 人 在 使 用 ,完成 认证 。 
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5 Web 会 话 管理 
会 话 即 Session, 它 在 Web 技术 中 非常 重要 。 由 于 网 页 是 一 种 无 状态 的 连接 程序 , 因 
此 无 法 得 知 用 户 的 浏览 状态 。 例 如 ,在 网 上 购物 时 , 某 用 户 把 很 多 商品 加 入 了 购物 车 ,而 
在 结账 时 ,网 站 却 不 知道 该 用 户 的 购物 车 里 有 哪些 物品 。 为 了 解决 这 个 问题 ,服务 器 端 可 
以 为 特定 用 户 创 建 特定 的 Session, 用 于 标示 并 跟踪 这 个 用 户 , 这 样 可 以 获知 购物 车 里 有 
哪些 商品 。 
Session 工作 流程 图 如 图 6-11 所 示 。 


开始 


Web 请 求 


是 否 有 SessionID? 生成 SessionID, 并 写 入 Cookie 


i 尝试 更 新 Session 过 期 时 间 戳 


加 入 Context.Items 中 进行 缓存 


1 


Handler 处 理 


序列 化 并 保存 Session 数 据 到 数据 库 


1 
更 新 Session 过 期 时 间 惟 并 解锁 


图 6-11 Session 工作 流程 图 


96 


第 6 章 Web 系统 漏洞 及 其 防范 措施 mm 


6.9.1 生成 Session 的 方法 


采用 无 序 不 规则 且 足 够 长 的 数字 ,字母 ,符号 组 合成 SessionID, 既 可 以 防止 被 人 为 猜 
出 ,也 可 以 最 大 程度 地 避免 字典 式 攻击 。 为 了 安全 起 见 ,推荐 使 用 框架 自动 生成 的 SessionID。 


6.9.2 ”传输 Session 


传输 并 使 用 Session 的 流程 如 图 6-12 所 示 。 

使 用 Cookie 传输 是 最 常用 的 手段 .但 是 
为 了 防止 XSS 攻击 ,需要 采取 另外 的 措施 。 
把 SessionID 加 入 到 URL 上 发 送 到 后 台 。 

(1) 不 能 直接 处 理 此 SessionID, 因为 确定 SessionID| 
URL 是 公开 可 见 的 ,SessionID 会 暴露 无 遗 ， 
引起 很 多 安全 问题 ,不 推荐 这 种 方式 ,但 在 手 
机 应 用 开发 等 不 会 轻易 暴露 具体 URL 的 情 
况 下 ,可 以 适当 使 用 。 

(2) 加 入 Cookie 等 元 素 , 后 台 处 理 时 根据 
Cookie 判断 访问 源头 是 否 正常 ,如 从 不 同 浏览 


开始 


重新 生成 


浏览 器 是 否 携带 ? 


器 来 的 Cookie 不 同 ,即使 SessionID 一 样 ,也 直接 使 用 分 配 到 浏览 器 端 
(3) 如 果 设计 上 人 允许 不 同 浏览 器 访问 , 则 

可 以 使 用 类 似 上 述 手 机 号 认证 的 方式 , 即 事先 结束 

生成 临时 密码 ,在 不 同 浏览 器 中 打开 链接 后 提 

示 输 入 临时 密码 。 图 6-12 传输 并 使 用 Session 的 流程 


6.9.3 HTTPS 保护 


不 管 是 SessionID, 还 是 其 他 敏感 重要 的 信息 ,在 引入 HTTPS 机 制 的 基础 上 ,如 果 需 
要 通过 Cookie 传输 内 容 , 就 需要 使 用 到 Cookie 的 secure 属性 。 

(1) Cookie 的 secure 二 false; 不 管 有 无 HTTPS , 均 传输 内 容 , 保 护 有 缺陷 ,只 访问 自 
身 HTTPS 的 URL 群 不 会 产生 风险 ,但 要 访问 未 引入 HTTPS 的 第 三 方 URL 时 ,会 
露 Cookie 内 容 。 

(2) Cookie 的 secure 二 true,， 有 HTTPS 时 才 传 输 内 容 , 无 HTTPS 时 不 传输 内 容 ， 
起 到 保护 作用 。 


6.9.4 何 时 生成 SessionID 


1. 恶意 用 例 : Session Fixation 攻击 
SessionFixation 攻击 是 指 在 要 使 用 的 Session 中 加 入 了 用 户 账号 等 相关 机 密 信息 ， 
以 此 设计 开发 程序 时 引起 的 问题 ,具体 流程 如 下 。 
首先 ,用 户 通 过 某 种 途径 访问 登录 页 面 ,这 时 Session 开始 ,SessionID 随 之 返 送 给 用 
yg 
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户 。 接 着 ,输入 用 户 名 和 密码 等 必要 的 登录 信息 ,与 刚才 的 SesssionID 一 起 提交 到 服务 
器 ,认证 成 功 后 , 即 把 该 SessionID 与 用 户 信 息 关联 起 来 。 

这 种 情况 下 ,攻击 者 通过 各 种 手段 让 用 户 使 用 攻击 者 预先 准备 好 的 SessionID ,一 旦 
用 户 登录 成 功 后 ,攻击 者 即 得 到 同等 授权 ,利用 这 个 SessionID 进行 正常 用 户 可 以 使 用 的 
任何 操作 。 


2. 对 策 

简 言 之 ,用 户 登 录 后 ,生成 新 的 SessionID 返 送 给 用 户 , 再 进行 后 续 操作 。 即 使 用 户 
使 用 攻击 者 预先 准备 的 SessionID 登录 ,但 在 服务 器 端 认 证 通过 后 ,服务 器 生成 一 个 全 新 
的 SessionID 返 送 给 用 户 , 从 根本 上 杜绝 攻击 者 。 

不 仅 是 已 有 用 户 的 登录 ,还 是 新 用 户 的 注册 ,都 应 该 在 设计 和 开发 时 加 入 该 对 策 。 所 
以 ,在 服务 器 端 认 证 通过 的 时 刻 , 必 须 重新 生成 SessionID。 


6.9.5 CSRF 对 策 


(1) 根本 性 对 策 是 让 攻击 者 无 法 制造 “陷阱 ”。 

攻击 者 主要 通过 推测 页 面 表单 里 含有 的 各 种 参数 信息 制造 “陷阱 ”, 所 以 如 果 表 单 里 
不 含有 能 推测 的 信息 ,攻击 者 也 就 无 从 下 手 。 

通常 的 做 法 是 ,在 用 户 要 结束 某 个 操作 前 (如 网 购 时 单 击 * 付 款 ” 按 钮 的 时 刻 ) ,安全 起 
见 , 让 用 户 重 新 输入 密码 ,以 完成 本 次 操作 。 

总 而 言 之 ,无 论 是 密码 ,还 是 其 他 信息 ,在 提交 到 服务 器 的 信息 中 只 要 至 少 有 一 个 让 
攻击 者 无 法 预测 .猜测 的 数据 ,就 可 以 从 根本 上 杜绝 攻击 。 

(2) 面向 大 众 开放 的 网 站 服务 不 能 从 根本 上 杜绝 ,但 在 企业 等 小 众 以 及 银行 等 有 严 
格 安全 要 求 的 网 站 服务 上 可 采用 合适 的 解决 方案 ,具体 方式 如 下 。 

OQ@ 利用 Refer 的 header 属性 。 

header 中 保存 了 最 近 一 次 访问 页 面 的 URL ,一般 对 这 个 URL 实行 判断 , 即 可 知道 
是 否 从 “正规 ”渠道 跳 转 过 来 。 

原因 在 于 ,面向 大 众 开 放 的 网 站 服务 具有 多 样 性 ,无 法 保证 该 URL 是 否 是 预想 的 那 
样 ,所 以 适用 性 不 强 ; 但 小 众 的 拥有 特定 用 户 的 网 站 并 不 会 希望 从 各 个 渠道 跳 转 过 来 ,所 
以 只 要 一 开始 设计 时 就 要 求 URL 具有 “正规 性 ”, 就 能 够 达成 目标 。 

@ 设计 有 步骤 性 的 一 连 串 多 个 页 面 。 

攻击 者 的 基本 心理 是 ,尽快 让 用 户 掉 进 “ 陷 阱 ”, 因 而 他 们 常常 会 设计 出 相对 简单 的 页 
面 和 流程 诱导 用 户 。 

基于 此 ,开发 者 可 以 设计 多 个 步骤 页 面 (前 提 是 不 让 用 户 反 感 ) 引 导 用 户 完成 某 个 操 
作 ,通过 这 样 “烦琐 ?的 步骤 让 攻击 者 制造 "陷阱 ?费时 费力 ,直至 放弃 。 

每 个 页 面 都 会 从 上 个 页 面 继 承 相关 信息 ,继而 往 下 处 理 , 通 过 这 样 的 方式 ,到 达 服 务 
端的 数据 才 会 完整 ,才能 正常 地 被 处 理 。 


6.9.6 直接 访问 的 防范 与 对 策 
网 络 上 公开 的 信息 有 很 多 ,对 非 会 员 公开 的 页 面 (信息 ) 也 有 ,注册 会 员 登 录 后 才能 访 
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问 的 页 面 更 是 常见 的 形式 。 

需要 说 明 的 是 ,即使 会 员 登 录 后 ,能 访问 的 页 面 和 操作 的 对 象 也 只 能 是 自己 权限 内 
的 ,不 能 访问 他 人 的 购物 记录 、 他 人 的 非 公 开 档案 ,甚至 修改 他 人 的 个 人 信息 。 

这 些 “ 页 面包 括 了 静态 的 链接 ,文档 (如 pdf word 等 ) 图像 .影音 流 媒 体 、 动 态 可 执 
行 的 JavaScript 程序 等 ,也 在 Session 安全 设计 的 对 象 内 。 


3. 10 Web 安全 增强 技术 


1. 建立 Web 服务 安全 模型 

Web 服务 安全 模型 提供 了 3 种 服务 信息 的 交换 。 

(1) 客户 端 可 以 向 信任 服务 发 出 请 求 ,以 注册 密 钥 , 获 取 公 钥 或 者 验证 密 钥 对 ,然后 
信任 服务 依次 与 底层 PKI 实现 方案 进行 通信 ,完成 实际 的 PKI 操作 。 

(2) 客户 端 在 安全 域 中 注册 ,其 信息 的 传递 采用 加 密 及 数字 签名 的 方式 以 保证 其 机 
密 性 .完整 性 和 不 可 和 否认 性 。 客 户 端 只 需要 在 一 个 安全 域 中 完成 其 身份 认证 ,就 能 够 在 另 
外 一 个 安全 域 中 无 须 重新 验证 直接 使 用 受 保 护 的 资源 。 

(3) 安全 域 可 以 向 信任 服务 验证 客户 端 公 钥 的 有 效 性 ,以 保证 信息 的 不 可 否认 人 性。 
不 同 的 安全 域 之 间 可 以 交换 安全 信息 ,满足 从 单 点 注册 到 后 台 事务 的 授权 服务 的 不 同 处 

2. 网 络 边界 的 安全 防护 

网 络 边界 是 指 内 部 安全 网 络 与 外 部 非 安全 网 络 的 分 界线 。 

网 络 边界 的 安全 防护 需要 建设 : 负载 均衡 链 路 设备 ;防火 墙 设备 ,确保 链 路 层 、 传 输 
层 的 数据 包 安 全 过 滤 机 制 ; 防 病毒 网 关 , 确 保 Internet 互 访 的 第 一 道 基于 硬件 的 防 病毒 等 
安全 机 制 ; 基 于 公 网 的 相关 应 用 系统 的 安全 系统 ,如 防 垃圾 邮件 系统 等 。 

3. 一 次 性 口令 

一 次 性 口令 是 指 每 登录 一 次 或 每 过 一 个 时 间 间 隔 就 更 换 一 次 的 口令 。 

1) 基于 算法 

基于 算法 的 一 次 性 口令 使 用 复杂 的 算法 ,如 一 个 哈 希 链 , 通 过 一 个 共享 密 钥 生成 一 系 
列 一 次 性 口令 。 即 使 前 一 个 口令 已 知 ,后 一 个 口令 也 是 不 可 猜 解 的 ,每 个 新 的 口令 都 是 唯 
一 的 ,所 以 攻击 者 无 法 通过 之 前 的 口令 猜 解 新 口令 。 

2) 时 间 同 步 

时 间 同 步 的 一 次 性 口令 每 经 过 一 定 的 时 间 间 隔 都 发 生 改 变 , 例 如 ,每 分 钟 改变 一 次 。 
要 达到 这 一 目的 ,用 户 需要 一 个 安全 令 牌 ,并 与 认证 服务 器 同步 。 无 法 连接 网 络 的 令 牌 会 
在 发 布 前 就 实现 同步 。 大 部 分 令 牌 不 能 更 换 电 池 ,最 多 只 能 使 用 5 年 ,因此 增加 了 成 本 。 

3) 基于 事件 

基于 事件 的 令 牌 鉴于 其 本 身 的 性 质 , 具 有 更 长 的 生命 周期 。 它 们 的 工作 原理 基于 一 
次 性 口令 原则 , 即 上 一 个 口令 一 旦 使 用 ,下 一 个 口令 即刻 生成 。 
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4) 无 令 牌 口令 

一 些 认 证 服务 提供 者 提供 基于 网 络 的 方法 发 放 一 次 性 口令 ,而 不 需要 使 用 令 牌 。 这 
种 方法 的 实现 依赖 于 用 户 识别 这 些 预选 的 图 像 网 格 的 能 力 。 第 一 次 注册 网 页 时 ,用 户 选 
择 几 种 事物 ,如 小 狗 、 汽 车 、 船 或 花 等 。 

此 后 他 们 每 次 登录 时 ,都 会 看 到 由 这 些 图 片 随机 产生 的 网 格 , 网 格 中 的 每 个 图 片上 都 
会 有 一 个 数字 或 字母 ,用 户 选 择 与 他 们 预选 的 种 类 对 应 的 图 片 ,并 输入 相应 的 数字 或 字 
母 ,生成 一 次 性 访问 码 。 


4. 域 环境 建设 (局 域 网 角度 ) 

在 局 域 网 环境 下 ,可 通过 域 控 服 务 器 对 局 域 网 客户 机 和 用 户 进行 管理 ,使 用 组 策略 等 
方式 增加 网 内 的 安全 管理 ;建设 防 病毒 服务 系统 ;建设 客户 端 补 丁 更 新 系统 ;建设 访问 控 
制 系统 ,确保 局 域 网 内 的 安全 接 入 管理 ;使 用 IPS 入 侵 防护 设备 结合 上 网 行为 审计 管理 系 
统 ,规范 局 域 网 内 上 网 行为 管理 及 行为 审计 、 时 间 追 查 等 ;使 用 流量 管理 设备 ,从 应 用 层 、 
协议 层 角度 规范 网 内 业务 流量 ,确保 关键 业务 流量 需求 。 


.如 何 进行 安全 配置 错误 漏洞 处 理 ? 

. 如何 进 行 跨 站 请 求 伪 造 漏洞 处 理 ? 

. 如何 进行 敏感 信息 泄漏 漏洞 处 理 ? 
. 如何 进行 未 受 有 效 保护 的 API 漏洞 处 理 ? 
12. 简 述 Web 漏洞 的 发 展 趋势 。 

13. 指纹 识别 方式 有 哪些 ? 

14. 在 设计 密码 认证 策略 时 要 注意 什么 ? 
15. 会 话 管理 安全 策略 有 哪 几 点 ? 

16. 简 述 Web 会 话 管理 的 基本 流程 。 
17. 什么 是 网 络 边界 的 安全 防护 ? 

18. 常用 的 Web 安全 增强 技术 有 哪些 ? 
19. 一 次 性 口令 有 几 种 类 型 ? 


1. HTTP 请 求 头 和 响应 头 各 包含 什么 信息 ? 
2. HTTP 请 求 由 哪 几 部 分 构成 ? 

3. GET 请 求 和 POST 请 求 的 区 别 有 哪 些 ? 
4. 简 述 Web 安全 漏洞 的 发 展 情况 。 

5. 常见 的 Web 漏洞 有 几 种 ?分别 是 什么 ? 
6. 如 何 进行 注入 漏洞 处 理 ? 

7. 如 何 进行 跨 站 脚本 漏洞 处 理 ? 

8 
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第 7 瘟 
一 用户 名 及 口令 猜 解 


用 户 名 是 要 登录 的 账户 名 ,口令 一 般 被 认为 是 密码 。 本 章 主 要 介绍 用 户 名 和 口令 的 
基础 知识 。 通 过 本 章 的 学 习 , 理 解 用 户 名 和 弱 口 令 的 概念 .常见 弱 口 令 的 类 型 .口令 字典 
和 弱 口 令 猜测 。 


7.1 ”常见 用 户 名 和 弱 口 令 概述 


7.1.1 ”常见 用 户 名 和 弱 口 令 的 概念 


1. 用 户 名 

用 户 名 (username) 是 系统 用 户 登录 的 标识 ,是 常用 网 络 术 语 之 一 。 用 户 名 可 以 使 用 汉 
字 、 字 母 和 数字 ,或 者 是 这 些 的 组 合 ,如 珠穆朗玛 峰 、zmlmf、chinal12345 等 都 可 以 作为 用 户 
名 。 凡 是 允许 用 户 注册 的 系统 ,只 要 符合 其 规定 ,而 且 此 用 户 名 还 未 被 占用 时 ,都 可 注册 。 

在 日 常生 活 中 ,很 多 场景 都 需要 使 用 用 户 名 ,如 各 大 网 站 、 各 种 平台 软件 、 操 作 系 统 、 
游戏 账号 、 网 络 银行 账户 以 及 各 种 网 络 设备 等 都 会 涉及 用 户 名 。 

常见 的 用 户 名 就 是 经 常 被 人 们 使 用 的 用 户 名 。 这 些 常见 用 户 名 的 安全 级 别 比 较 低 ， 
攻击 者 非常 容易 猜测 到 这 些 常见 用 户 名 。 列 举 常见 用 户 名 见 表 7-1。 

表 7-1 列举 常见 用 户 名 


序号 用 户 名 序号 用 各 名 序号 用 户 名 序号 用 户 名 
1 | charlie 12 | albert 23 | bill 34 | houstonoilers 
2 | mickey 13 | open 24 | ronald 35 | greenbaypackers 
3 | daffy 14 | dick 25 | george 36 | pennstatefootball 
4 |1012NW 15 | username 26 | richard 37 | michaeljordan 
5 | bugs 16 | members 27 | bob 38 | miketyson 
6 | donald 17 | test 28 | bud 39 | monicalewinski 
7 | minnie 18 | testing 29 | adminadministrator | 40 | lindatripp 
8 | elmer 19 | tester 30 | georgiabulldogs 41 | faithhill 
9 | tweety 20 | heil 31 | pittsburghsteelers || 42 | mariahcarey 
10 | alfonse 21 | borris 32 | miamidolphins 43 | georgia 
11 | al 22 | william 33 | sanfran49ers 44 | adminadminl 
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续 表 
序号 用 户 名 序号 用 户 名 序号 出 户 痪 序号 用 户 和 名 
45 | adminadmin 48 | adminadmin2 51 | system 54 | kyle 
46 | adminadm 49 | adminsuper 52 | supervisor 55 | loginpassword 
47 | adminsystem 50 | administrator 53 | jeff 56 | rolling 


2. 能 口令 
弱 口 令 没有 严格 和 准确 的 定义 。 通 常 认 为 容易 被 别人 猜测 以 及 容易 被 破解 工具 破解 
的 口令 均 为 弱 口 令 , 如 123 ,abc aaa admin guest。 


7.1.2” 弱 口令 的 危害 


在 当今 这 个 以 用 户 名 和 口令 作为 鉴 权 的 世界 ,口令 重要 性 可 想 而 知 。 口 令 相当 于 用 
户 家 门 的 钥匙 ,一 旦 这 把 钥匙 落 入 他 人 之 手 , 用 户 的 隐私 、 财 务 等 都 将 暴露 在 他 人 的 眼前 。 
对 于 普通 个 人 用 户 而 言 , 汇 漏 的 可 能 还 只 是 一 些 个 人 隐私 ,但 对 于 商业 用 户 , 乃 至 政府 机 
关 、 国 家 机 构 , 内 容 的 泄漏 将 会 造成 巨大 的 损害 。 因 为 弱 口 令 相 当 于 放 在 家 门口 垫子 下 的 
家 门 钥匙 ,很 容易 被 他 人 猜 到 或 者 被 破解 工具 轻易 破解 ,是 十 分 危险 的 。 


7.23 常见 的 弱 口 令 类 型 


按照 口令 应 用 的 场景 分 类 , 弱 口 令 有 如 下 4 种 。 


1. 系统 弱 口 令 
系统 弱 口 令 主 要 包括 FTP 弱 口 令 、Ssh 弱 口 令 .Telnet 弱 口 令 、Terminal Services 弱 
口令 、Vnc 弱 口 令 。 


2. 数据 库 弱 口令 
数据 库 弱 口令 主要 包括 SQL Server 弱 口 令 .Oracle 弱 口 令 MySQL 弱 口 令 。 


3. 中 间 件 弱 口 令 
中 间 件 弱 口 令 主要 是 Tomcat 弱 口 令 。 


4. Web 应 用 弱 口令 

Web 应 用 弱 口令 主要 包括 网 站 登录 框 弱 口 令 `WebShell 弱 口 令 。 

按照 口令 内 容 的 构成 ,常见 的 弱 口 令 类 型 有 以 下 7 种。 

(1) 空 口令 或 系统 默认 的 口令 。 

(2) 长 度 小 于 8 个 字符 的 口令 。 

(3) 采用 连续 的 某 个 字符 (如 AAAAAAAA) 或 重复 某 些 字符 的 组 合 的 口令 。 

(4) 口令 应 该 为 以 下 4 类 字符 的 组 合 : 大 写字 母 (A 一 Z) ,小写 字母 (a~z) .数字 (0 一 
9) 和 特殊 字符 。 每 类 字符 至 少 包含 一 个 ,如 果 某 类 字符 只 包含 一 个 ,那么 该 字符 不 应 为 首 
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字符 或 尾 字符 。 
(5) 包含 用 户 本 人 、 父 母子 女 和 配偶 的 姓名 和 出 生日 期 、 纪 念 日 期 .登录 名 、E-mail 
地 址 等 与 本 人 有 关 的 信息 ,以 及 字典 中 的 单词 的 口令 。 
(6) 用 数字 或 符号 代替 某 些 字母 的 单词 作为 口令 。 
(7) 长 时 间 不 做 更 改 的 口令 。 


常见 的 弱 口令 见 表 7-2。 


表 7-2 常见 的 弱 口令 


用 户 名 及 口令 猜 解 ” mm 


序号 弱 口令 序号 弱 口 令 序号 弱 口 令 序号 弱 口 令 
1 | 123456789 26 | 0123456789 51 | 123456789abc 76 | 123456q 

2 | al23456 27 | asd123456 52 | z123456 77 | 123456aa 

3 | 123456 28 | aal23456 53 | 1234567899 78 | 9876543210 
4 |al23456789 29 | 135792468 54 | aaal23456 79 | 110120119 

5 1234567890 30 | ql23456789 55 | abcd1234 80 | qaz123456 

6 | woainil314 31 | abcd123456 56 | www123456 81 | qq5201314 

7 | qql23456 32 | 12345678900 57 | 123456789q 82 | 123698745 

8 | abc123456 33 | woaini520 58 | 123abc 83 | 5201314 

9 |123456a 34 | woainil23 59 | qwel23 84 | 000000000 
10 | 123456789a 35 | zxcvbnml123 60 | wl23456789 85 | asl23456 

11 | 147258369 36 | 1111111111111111 | 61 | 7894561230 86 | 123123 

12 | zxcvbnm 37 | w123456 62 | 123456qq 87 | 5841314520 
13 | 987654321 38 | ainil314 63 | zxc123456 88 | z123456789 
14 | 12345678910 39 | abc123456789 64 | 123456789qq 89 | 52013145201314 
15 | abel23 40 | 111111 65 | 1111111111 90 | al23123 

16 | qql23456789 41 | woaini521 66 | 111111111 91 | caonima 

17 | 123456789. 42 | qwertyuiop 67 | 0000000000000000 || 92 | a5201314 

18 | 7708801314520 43 | 1314520520 68 | 1234567891234567 || 93 | wang123456 
19 | woaini 44 | 1234567891 69 | qazwsxedc 94 | abcdl23 

20 | 5201314520 45 | qwel23456 70 | qwerty 95 | 123456789. . 
21 | ql23456 46 | asdl23 71 | 123456.. 96 | woainil314520 
22 | 123456abc 47 | 000000 72 | zxcl23 97 | 123456asd 
23 | 1233211234567 48 | 1472583690 73 | asdfghjkl 98 | aal23456789 
24 | 123123123 49 | 1357924680 74 | 0000000000 99 | 741852963 
25 | 123456. 50 | 789456123 75 | 1234554321 100 | al2345678 
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73 弱 口 令 安全 防护 


7.3.1 口令 字典 


口令 字典 又 称 密码 字典 ,主要 配合 密码 破译 软件 使 用 。 密 码 字典 里 包括 许多 人 们 习 
惯性 设置 的 密码 ,这 样 可 以 提高 密码 破译 软件 的 密 
码 破 译 成 功率 和 命中 率 ,缩短 密码 破译 的 时 间 。 当 
然 ,如 果 一 个 人 对 密码 的 设置 没有 规律 或 很 复杂 ,未 


一 
党 | | 在 | | 晶 | | 奖 | | 多 | | 点 | 包含 在 密码 字典 里 ,这 个 字典 就 失效 了 ,甚至 会 延长 
下 | | 容 | | 页 | | 页 | | 让 | | 号 | 密码 破译 需要 的 时 间 。 常 见 的 口令 字典 如 图 7-1 

各 各 | ”所 示 。 

(1) 常规 字典 : 采用 递归 运算 , 自 定义 生 成 包含 
人 任意 字符 或 汉字 的 字典 。 

(2) 不 同 字符 字典 ; 每 位 使 用 不 同 字符 集 构成 

的 字典 


(3) 日 期 字典 : 生成 6 位 或 8 位 日 期 密码 字典 (生日 密码 字典 ) 。 

(4) 英文 字典 : 常用 英语 单词 ,英语 人 名 词典 和 英语 地 名 词典 组 成 的 字典 。 
(5) 拼音 字典 : 由 常用 中 文 词组 拼音 构成 的 字典 。 

(6) 电话 号 码 字 典 : 生成 指定 格式 的 电话 号 码 组 成 的 字典 。 

口令 字典 的 实例 如 图 7-2 所 示 。 


sa E73 
口 st 
网 组 字典 ~ 宁 控 雪 存 和 用 P 名 亲身 Y Das 中 室友 并 YY Desst 
和 和 字 奥 -。 是 作 RE 所 务 。 字 息 - 理 作 asp 所 电 务 字典.。 损 作 
MongoDB 旨 他 纲 MongoDB 了 器 MongopajBPZ 宁 本 。 MongoD8 3 器 MongoD8 码 # 秽 MongoDB 4 器 
DeziB 侣 字 奥 De2 a 加 DB2 用 六 名字 由 Daz 6 日 D2 交 丽 让 虹 DBz 2 加 
MeSOL 提 全 字 秽 ma 7 加 wesauarzsm wa 1 加 Mesa 机 vsa 22 加 
PostgresQl 组 全 字 热 。 | PostgreSQL 1 回 FostgresSQUB 广 条 只。 PostgresQL 1 加 Postgresat 才 Bj 和 。 Posresal 246 加 
sa 他 由 wa 7 加 wsauazs5h wa 5 加 WsALERFN ma 3%9 加 
Oracle 引 全 字典 one 2 加 OracleR 广 生字 类 oe 2a 加 Oecd 和 ode ao 加 
RDp 和 全 字典 RDp “加 RDp 甩 六 名字 奥 RDp 3 日 RDp 室 三 字典 Rpp 4 加 
SMB 组 全 闻 失 SMB 1 加 SMBB* 各 闻 委 Sa 3 日 SNMP 均 半生 SNMP 5 
Pop3 旭 全 字 奥 mo 3% 加 paps 月 记名 字 身 Pop 3 [=| Ma 二 机 字 册 wa 46 加 
SSH 襄 宁 电 ssH -9 回 SsHRFPSe ssH 6 [=| POP3 考 闻 娄 rr “6 回 
FTpiB82 字 妆 Fp 1 加 Fp 用 户 字 类 Fp 6 [=| SsH 字 娄 ssH 25 加 
TELNFT 和 全 和 ra 2 加 TnerRaze NT 5 回 Fp Fp 有 加 
TELNET 二 码 宁 由 Tree 4 加 | 
Hz 和 ia 录 “ 园 ， sshzsiaR “ 画 ， 
ia 1 
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7.3.2” 弱 口令 猜 解 


口令 机 制 是 资源 访问 控制 的 第 一 道 屏 障 , 通 常 黑客 以 破解 用 户 弱 口令 作为 突破 口 , 获 
取 系统 的 访问 权限 。 口 令 破解 技术 是 一 项 经 典 的 攻击 技术 ,同时 也 是 一 项 很 有 效 的 攻击 
技术 ,通常 在 没有 办 法 的 情况 下 使 用 。 硬件 技 术 和 软件 技术 以 及 网 络 技术 的 飞速 发 展 ,使 
得 计算 机 性 能 大 幅度 提高 ,暴力 破解 变 得 十 分 有 效 。 


1. 口 令 破 解 的 基础 知识 

1) 字典 攻击 

使 用 一 部 一 万 个 单词 的 字典 一 般 能 猜测 出 系统 中 70% 的 口令 。 

2) 强行 攻击 

没有 攻 不 破 的 口令 。 如 果 有 速度 足够 快 的 计算 机 能 够 尝试 字母 .数字 特殊 字符 的 所 
有 组 合 , 最 终 将 能 破解 所 有 口令 。 

3) 组 合 攻击 

使 用 字典 单词 ,但 是 单词 尾部 串联 几 个 字母 和 数字 ,这 就 是 组 合 攻击 。 

4) 字典 文件 

字典 文件 就 是 根据 用 户 的 各 种 信息 建立 一 个 用 户 可 能 使 用 的 口令 的 列表 文件 。 
字典 中 的 口令 是 根据 人 们 设置 自己 账号 口令 的 习惯 总 结 出 的 常用 口令 。 对 攻击 者 而 
言 ,攻击 的 主要 口令 在 这 字典 文件 中 的 可 能 性 很 大 ,而 且 因为 字典 条 目 相 对 较 少 ,在 
破解 速度 上 也 远 快 于 穷 举 法 口令 攻击 。 这 种 字典 有 很 多 种 ,适合 在 不 同情 况 下 
使 用 。 

5) 口令 破解 器 

口令 破解 器 是 一 个 程序 , 它 能 将 口令 解 译 出 来 ,或 者 让 口令 保护 失效 。 口 令 破解 器 一 
般 不 是 真正 地 去 解码 ,因为 实际 上 很 多 加 密 算 法 是 不 可 逆 的 。 

大 多 数 口令 破解 器 是 通过 尝试 一 个 个 的 单词 ,用 已 知 的 加 密 算法 加 密 这 些 单词 ,直到 发 
现 一 个 单词 经 过 加 密 后 的 结果 和 待 解密 的 数据 一 样 ,就 认为 这 个 单词 是 要 找 的 密码 。 


2. 影响 弱 口 令 猜 解 的 主要 因素 

1) 算法 的 强度 

例如 , 除 尝试 所 有 可 能 的 密 钥 组 合 之 外 的 任何 数学 方法 ,都 不 能 使 信息 被 解密 。 

2) 口令 的 保密 性 

数据 的 保密 程度 直接 与 口令 的 保密 程度 相关 。 注 意 区 分 口令 和 算法 ,算法 不 需要 保 
密 , 被 加 密 的 数据 是 先 与 口令 共同 使 用 ,然后 再 通过 加 密 算法 。 

3) 口令 长 度 

口令 的 长 度 以 “位 ”为 单位 ,根据 加 密 和 解密 的 应 用 程序 ,在 口令 的 长 度 上 加 上 一 位 相 
当 于 把 可 能 的 口令 的 总 数 乘 以 二 倍 , 简 单 地 说 ,构成 一 个 任意 给 定 长 度 的 口令 的 位 的 可 能 
组 合 的 个 数 可 以 表示 为 2 的 n 次 方 (n 是 一 个 口令 长 度 ) ,因此 ,一 个 40 位 口令 长 度 的 配 
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方 将 是 2 的 40 次 方 或 万 亿 种 可 能 的 不 同 的 钥 , 与 之 形成 鲜明 对 比 的 是 现代 计算 机 的 


3. 弱 口 令 猜 解 的 主要 方法 
这 里 主要 介绍 弱 口 令 猜 解 的 主要 方法 。 常 见 的 弱 口 令 猜 解 方法 如 图 7-3 所 示 。 
1) 穷尽 搜索 


四 人 稍 解 的 主要 放流 破译 密 文 最 简单 的 方法 是 尝试 所 有 可 能 的 密 钥 组 
合 。 假 设 破译 者 有 识别 正确 解密 结果 的 能 力 ,经 过 多 次 
加 荡 | 口令 尝试 ,最 终 会 有 一 个 密 钥 让 破译 者 得 到 原文 ,这 个 
轨 分 让 | 过 程 就 称 为 口令 的 穷尽 搜索 。 
芝 2) 密码 分 析 
将 在 不 知 其 密 钥 的 情况 下 ,利用 数学 方法 破译 密 文 或 
找到 密 钥 的 方法 称 为 密码 分 析 (cryptanalysis) 。 
ee 密码 分 析 有 两 个 基本 的 目标 ; 利用 密 文 发 现 明文 ; 
党 | | 身 | | 尝 | | 吾 | 。 利用 密 文 发 现 密 铀 。 
而 | 文 | | 六 | | 和 根据 密码 分 析 者 破译 (或 攻击 ) 时 已 具备 的 前 提 条 
击 | 。 件 ,通常 将 密码 分 析 攻 击 法 分 为 4 种 类 型 。 


(1) 唯 密 文 破解 (ciphertext-only attack) 。 

在 这 种 方法 中 ,密码 分 析 员 已 知 加 密 算法 ,掌握 了 
一 段 或 几 段 要 解密 的 密 文 ,通过 对 这 些 截 获 的 密 文 进 行 分 析 得 出 明文 或 口令 。 唯 密 文 破 
解 是 最 容易 防范 的 ,因为 攻击 者 拥有 的 信息 量 最 少 。 但 是 ,在 很 多 情况 下 ,分析 者 可 以 得 
到 更 多 的 信息 ,如 捕获 到 一 段 或 更 多 的 明文 信息 及 相应 的 密 文 ,也 可 能 知道 某 段 明文 信息 
的 格式 。 

(2) 已 知 明文 的 破译 (known-plaintext attack) 。 

在 这 种 方法 中 ,密码 分 析 员 已 知 加 密 算法 ,掌握 了 一 段 明文 和 对 应 的 密 文 ,目的 是 发 
现 加 密 的 密 钥 。 在 实际 使 用 中 ,获得 与 某 些 密 文 对 应 的 明文 是 可 能 的 。 

(3) 选 定 明文 的 破译 (chosen-plaintext attack) 。 

在 这 种 方法 中 ,密码 分 析 员 已 知 加 密 算法 ,设法 让 对 手 加 密 一 段 分 析 员 选 定 的 明文 ， 
并 获得 加 密 后 的 密 文 ,目的 是 确定 加 密 的 密 钥 。 差 别 比 较 分 析 法 也 是 选 定 明文 破译 法 的 
一 种 ,密码 分 析 员 设法 让 对 手 加 密 一 组 相似 却 差别 细微 的 明文 ,然后 比较 他 们 加 密 后 的 结 
果 , 从 而 获得 加 密 的 密 钥 。 

(4) 选择 密 文 攻击 (chosen-ciphertext attack)。 

密码 分 析 者 可 得 到 需要 的 任何 密 文 对 应 的 明文 (这 些 明 文 可 能 是 不 明了 的 ) ,解密 这 
些 密 文 使 用 的 口令 与 解密 待 解 的 密 文 的 口令 一 样 。 它 在 密码 分 析 技 术 中 很 少 用 到 。 上 述 
4 种 攻击 类 型 的 强度 按 序 递增 ,如 果 一 个 密码 系统 能 抵抗 选择 明文 攻击 ,那么 它 当 然 能 够 
抵抗 唯 密 文 攻击 和 已 知 明文 攻击 。 
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图 7-3 常见 的 弱 口 令 猜 解 方法 
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3) 其 他 密码 破译 方法 

除 口令 的 穷尽 搜索 和 密码 分 析 外 ,实际 生活 中 , 破 密 者 更 可 能 针对 人 机 系统 的 弱点 进 
行 攻 击 ,而 不 是 攻击 加 密 算法 本 身 。 

利用 加 密 系统 实现 中 的 缺陷 或 漏洞 等 都 是 破译 密码 的 方法 ,虽然 这 些 方法 不 是 密码 
学 研究 的 内 容 , 但 对 于 每 一 个 使 用 加 密 技 术 的 用 户 来 说 是 不 可 忽视 的 问题 ,甚至 比 加 密 算 
法 本 身 更 重要 。 人 常见 的 方法 有 : 

Q@ 欺骗 用 户口 令 密码 。 

@ 在 用 户 输入 口令 时 ,应 用 各 种 技术 手段 “窥视 ?或 “偷窃 ?口令 内 容 。 

@ 利用 加 密 系统 实现 中 的 缺陷 。 

@ 对 用 户 使 用 的 密码 系统 偷梁换柱 。 

名 从 用 户 的 工作 ,生活 环境 中 获得 未 加 密 的 保密 信息 ,如 进行 的 “垃圾 分 析 ”。 

@ 让 口令 的 另 一 方 透露 口令 或 相关 信息 。 

@ 威胁 用 户 交 出 密码 。 


4. 弱 口 令 防 猜 解 的 常用 措施 

防止 口令 破译 ,采取 的 具体 措施 如 下 。 

1) 强壮 加 密 算法 

通过 增加 加 密 算 法 的 破译 复杂 程度 和 破译 时 间 ,进行 密码 保护 ,如 加 长 加 密 系 统 的 口 
令 长 度 ,一般 在 其 他 条 件 相同 的 情况 下 ,口令 越 长 ,破译 越 困 难 ,加密 系 统 越 可 靠 。 

2) 使 用 GIF 动画 验证 码 

当前 主流 的 验证 码 方式 是 静态 的 图 片 ,其 比较 容易 被 光学 字符 识别 (Optical 
Character Recognition ,OCR) 软 件 识别 ,不 能 很 好 地 防止 口令 猜 解 。 因 此 ,GIF 动画 验证 
成 了 新 的 且 更 安全 的 选择 ,其 使 得 识别 器 不 容易 辨识 哪 一 个 图 层 才 是 真正 的 验证 码 图 片 ， 
同时 并 不 影响 人 的 认识 和 读 取 信息 。 

3) 登录 日 志 ( 限 制 登 录 次 数 ) 

使 用 登录 日 志 可 以 有 效 防 止 暴 力 破解 。 登 录 日 志 是 , 当 用 户 登 录 时 ,不 是 直接 进行 登 
录 , 而 是 去 登录 日 志 里 查找 : 用 户 是 否 已 经 登录 错误 ,以 及 登录 错误 的 次 数 和 时 间 等 。 如 
果 连 续 多 次 错误 登录 ,系统 将 采取 某 种 保护 措施 。 

例如 ,Oracle 数据 库 就 有 一 种 安全 机 制 , 当 密码 输入 错误 3 次 之 后 ,每 次 登录 时 间 间 
隔 将 延长 10s, 这 样 就 大 大 减少 了 被 破解 的 风险 。 另 外 ,系统 可 以 做 到 第 三 次 登录 错误 后 
延 时 10s 登录 ,第 四 、 五 次 登录 错误 后 延 时 15s, 这 样 也 是 一 种 有 效 的 解决 暴力 破解 的 
方案 。 

4) 动态 会 话 口令 

在 每 次 会 话 时 使 用 不 同 的 口令 。 

5) 定期 更 换 加 密会 话 的 口令 

常见 的 口令 破解 服务 类 型 和 数据 库 类 型 如 图 7-4 所 示 。 
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@ WEB 扫 棋局 数据库 兴 则 “ 仿 口 S 贰 解 
天 本 在 普 | 引 要 光 员 
“安全 域名 称 WEB 扫 摘 -Eshop 安 全 域 ， 车 安 全 城 为 空 . 请 先 在 次 产 营 理 外 添加 安全 域 或 者 先 执行 笃 统 或 WE8 拉 
“任务 名 称 口 和 芋 解 - 
执 5 方 式 bb 
“服务 关 型 口 TaNEr game ， TENETiaAa 字 类 六 DD 23 
[eb 组 全 本 区 ' Fpaasa ED > 
口 ssh 组 合 樟 式 ”SSH 组 合 字 血 广 D 22 
口 rops 组 和 模式 ， pop3 短 A 字典 MG no 
口 SMB 组 全 模式 ，” SMB 经 合 字 和 庙 D 445 
口 sNvp mem ， SNMp 用 户 名字 次 ， SNMp 杰 字典 ， dl 
DRop 组 合 棕 式 ， RDPiB 合 和 庙 口 3389 
“ 数 后 库 类 型 Donde 组 全 模式 ， Oradei 全 闻 拱 端口 1521 
口 MysQL 如 模式 ” MysQLE 全 宁 拓 端口 3306 
口 组 全 模式 "PostgreSQL 人 字典 广 串 5432 
PostgreSQL 
口 MssQL 组 模式 ”MsSQUE 合 字 身 误 口 1433 
口 pez 组 全 模式 ”Dezi8 人 a 宁 拓 端口 。50000 
口 组 全 模式 7。 MongoD8 引 全 字典 及 口 z7o7 
MongoDB 


图 7-4 常见 的 口令 破解 服务 类 型 和 数据 库 类 型 


思 考题 


请 概述 用 户 名 和 弱 口 令 的 定义 。 

2. 为 什么 要 进行 弱 口令 防护 ? 

3. 请 简 述 弱 口令 的 类 型 。 

4. 什么 是 弱 口 令 猜 解 ? 请 简 述 影响 弱 口 令 的 主要 因素 。 
请 简 述 防护 弱 口 令 的 方法 。 


a 
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8 
ee 软件 配置 检查 


软件 配置 检查 是 一 个 软件 产品 在 生存 期 各 个 阶段 的 不 同形 式 (记录 特定 信息 的 不 同 
媒体 ) 和 不 同 版 本 的 程序 ,文档 及 相关 数据 的 集合 ,或 者 说 是 配置 项 的 集合 。 软 件 的 多 样 
性 、 复 杂 性 、 灵 活性 和 高 度 可 定制 性 对 系统 的 正确 配置 提出 了 挑战 ,错误 配置 已 经 成 为 影 
响应 用 服务 质量 的 关键 问题 之 一 。 


8.1 配置 检查 


8.1.1 配置 不 当 的 危害 


2017 年 8 月 7 日 ,美国 爆发 了 一 起 工业 关键 基础 设施 数据 泄漏 案 一 一 德州 电气 工程 
公司 (Power Quality Engineering,PQE) 的 Rsync 服务 器 由 于 配置 错误 (一 个 端口 配置 为 
互联 网 公开 ) ,导致 大 量 客户 机 密 文件 泄漏 ,包括 戴尔 (Dell) 、 奥 斯 丁 城 (City of Austin)、 
甲骨 文 (Oracle) 以 及 德州 仪器 (Texas Instruments) 等 。 

泄漏 的 数据 除了 暴露 出 客户 电气 系统 的 薄弱 环节 和 故障 点 外 ,还 揭露 了 政府 运营 的 
绝密 情报 传输 区 的 具体 位 置 和 配置 。 更 危险 的 是 ,PQE 内 部 密码 被 明文 保存 在 文件 夹 
中 ,如 果 落 入 不 法 分 子 之 手 , 就 能 轻易 攻破 公司 的 多 个 系统 。 

2017 年 7 月 6 日 ,UpGuard 的 网 络 风险 研究 主任 Chris Vickery 发 现 了 一 个 开放 端 
口 ,可 以 在 一 个 IP 地 址 接收 数据 包 , 当 进入 到 command-line 接口 时 ,返回 了 一 个 完全 可 
下 载 的 数据 库 。 其 中 包括 诸如 “客户 “用 户 ” 等 文件 夹 。Vickery 从 中 下 载 了 205GB 的 部 
分 数据 ,并 于 7 月 8 日 通知 了 PQE 公司 。 公 司 随 即将 其 系统 加 密 。 

这 个 将 系统 公开 于 公众 的 开放 端口 873 是 用 来 进行 Rsync( 远 程 同步 备份 ) 的 默认 端 
口 。Rsync 是 一 个 命令 行程 序 ,允许 将 数据 轻松 ,快速 地 复制 到 另 一 台 机 器 上 。 昌 然 IT 
管理 员 可 以 通过 使 用 Rsync 的 “主机 允许 /拒绝 ”功能 轻松 地 限制 通过 此 端口 访问 系统 的 
IP 地 址 ,但 是 这 在 配置 完 Rsync 后 需要 进行 一 个 额外 步骤 , 故 虽 然 操 作 简单 ,但 由 于 是 默 
认 开 放 的 ,所 以 很 容易 被 IT 人 员 遗 漏 。 

一 个 配置 不 当 的 服务 器 造成 的 损失 有 多 大 ? 对 于 许多 企业 来 说 ,代价 可 能 超过 整个 
业务 的 价值 。 骑 士 资本 (Knight Capital) 是 一 个 全 球 金融 服务 公司 ,是 美国 最 大 的 股票 交 
易 商 ,在 纽约 证 交 所 和 纳 斯 达 克 的 平均 每 天 交易 量 超 过 33 亿 股 ,交易 额 高 达 210 亿美 元 。 
2012 年 8 月 1 日 ,未 经 测试 的 软件 被 手动 部 署 到 生产 环境 中 ,触发 了 驻 留 在 其 中 一 个 服 
务 器 上 的 过 时 功能 ,导致 成 批 的 订单 被 错误 处 理 。 后 果 是 毁灭 性 的 : 该 公司 在 45 分 钟 内 
遭受 了 4.6 亿美 元 的 损失 。 
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“骑士 资本 ”可 能 是 迄今 为 止 损失 最 大 的 案例 ,但 它 不 是 唯一 由 于 IT 系统 配置 不 当 
导致 信息 安全 问题 的 公司 。 在 线 零售 巨头 Amazon. com 最 近 遭 受 13 分 钟 的 停机 导致 
2 646 501 美元 的 收入 损失 ;同样 ,西南 航空 公司 2016 年 的 计算 机 系统 故障 导致 2000 架 
次 航班 被 取消 和 延误 ,损失 了 8200 万 美元 。 

错误 的 配置 和 环境 的 不 一 致 会 产生 毁灭 性 的 结果 ,虽然 很 难 想象 ,但 却 是 事实 。 在 许 
多 情况 下 ,配置 不 当 是 导致 信息 安全 问题 的 重要 原因 之 一 ,正确 的 检测 和 管理 对 于 防止 操 
作 灾 难 降临 至 关 重 要 。 

随 着 时 间 的 推移 ,IT 系统 及 其 配置 必然 会 陷入 无 序 状态 。 测试、 代码 更 改 、 服 务 器 补 
丁 和 其 他 活动 导致 测试 / 预 生产 环境 和 生产 环境 配置 不 一 致 ,这 在 IT 系统 中 屡见不鲜 。 

如 果 对 这 些 不 一 致 置之不理 ,这 些 对 环境 软 硬 件 的 持续 更 改 将 导致 信息 系统 性 能 下 
降 、 意 外 宕 机 、 数 据 丢 失 、 网 络 安 全 事件 和 数据 泄漏 。 如 果 不 了 解 环境 中 发 生 的 更 改 ( 例 
如 , 软 硬 件 变 更 没有 系统 地 进行 可 靠 的 跟踪 ), 则 系统 恢复 时 间 ( 或 平均 修复 时 间 MTTR) 
在 服务 中 断 时 会 急剧 增加 。 


8.1.2 配置 核查 至 关 重要 


信息 系统 配置 操作 是 否 安全 是 安全 风险 的 重要 方面 。 安 全 配置 错误 一 般 是 人 员 操 作 
失误 导致 ,而 满足 大 量 信息 系统 设备 的 安全 配置 要 求 ,对 人 员 业 务 水 平 、 技 术 水 平 要 求 相 
对 较 高 ,所 以 一 些 行业 和 大 型 企业 制定 了 针对 自身 业务 系统 特点 的 配置 检查 列表 和 操作 
指南 ,而 国务 院 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》(147 号 令 ) 以 及 公安 部 
颁布 的 一 系列 信息 安全 等 级 保护 标准 ,也 明确 了 信息 系统 安全 等 级 保护 测评 的 纲领 性 

系统 更 新 补丁 ,但 是 配置 错误 也 会 导致 安全 事件 的 发 生 , 因 此 不 能 说 系统 完成 补丁 升 
级 后 ,就 能 保证 信息 系统 是 安全 的 ,错误 的 安全 配置 会 导致 安全 问题 。 安 全 配置 的 核查 工 
作 非 常 重要 。 

360 网 神 SecVSS 3600 漏洞 扫描 系统 的 
配置 检查 功能 ,主要 是 针对 操作 系统 数据库、 
网 络 设备 等 系统 的 配置 进行 检查 ,检查 配置 是 
否 符合 标准 ,并 可 以 自动 启动 软件 执行 过 程 的 
达标 检测 。360 网 神 漏 扫 系 统 配 置 检查 功能 
图 如 图 8-1 所 示 。 

图 8-1 360 网 神 漏 扫 系统 配置 检查 功能 图 安全 基线 (BaseLine) 是 保持 信息 系统 安 

全 的 机 密 性 .完整 性 .可 用 性 的 最 小 安全 控制 ， 

是 系统 的 最 小 安全 保证 ,是 最 基本 的 安全 要 求 。 安 全 基线 包含 配置 核查 ,是 人 员 技术 、 组 

织 \ 标 准 的 综合 的 最 低 标准 要 求 , 同 时 涵盖 管理 类 和 技术 类 两 个 层面 。 配 置 核查 是 业务 系 

统 及 所 属 设备 在 特定 时 期 内 ,根据 自身 需求 .部 署 环 境 和 承载 业务 要 求 应 满足 的 基本 安全 
配置 要 求 合集 。 

安全 配置 核查 关键 问题 图 如 图 8-2 所 示 。 


操作 系统 网 络 设备 安全 设备 


指标 项 
配置 检查 
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网 络 设备 安全 设备 主机 设备 
数据 库 设备 | 中 间 件 配置 | 应 用 配置 


系统 


图 8-2 安全 配置 核查 关键 问题 图 


8.1.3 安全 基线 及 配置 核查 的 技术 与 方法 


安全 基线 及 配置 核查 主要 从 口令 策略 ,文件 权限 .用 户 账 号 .系统 服务 .认证 授权 、 网 
络 通信 和 日 志 审计 7 个 方面 进行 核查 。 
1. 口令 策略 


加 检查 口令 重复 使 用 次 数 限制 。 
@ 检查 口令 生存 周期 要 求 。 


2. 文件 权限 


@ 检查 关键 权限 指派 安全 要 求 , 即 取得 文件 或 其 他 对 象 的 所 有 权 。 
@ 查看 每 个 共享 文件 夹 的 共享 权限 ,只 允许 授权 的 账户 拥有 权限 共享 此 文件 夹 。 


3. 用 户 账号 


@ 检查 是 否 禁用 guest 用 户 。 
@ 删除 匿名 用 户 空 连接 。 


4. 系统 服务 
Q@ 检查 是 否 都 配置 NFS 服务 检查 限制 。 
@ 检查 是 否 禁止 ctrl_alt_del。 
5. 认证 授权 
Q@ 对 于 VPN 用 户 ,必须 按照 其 访问 权限 的 不 同 进行 分 组 ,并 在 访问 控制 规则 中 对 该 
组 的 访问 权限 进行 严格 限制 。 
人 
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@ 检查 口令 生存 周期 要 求 、 配 置 访问 控制 规则 ,拒绝 对 防火 墙 保护 的 系统 中 常见 漏 
洞 对 应 端口 或 者 服务 的 访问 。 

6. 网 络 通信 

防火 墙 以 UDP/TCP 对 外 提供 服务 , 供 外 部 主机 进行 访问 ,如 作为 NTP 服务 器 、 
TELNET 服务 器 .TFTP 服务 器 .FTP 服务 器 、SSH 服务 器 等 ,应 配置 防火 墙 ,只 允许 特 
定 主机 访问 。 

7. 日 志 审 计 

设备 配置 远程 日 志 功能 ,将 需要 重点 关注 的 日 志 内 容 传输 到 日 志 服 务 器 。 


823 ”安全 配置 标准 


行业 规范 和 等 级 保护 纲领 性 规范 要 求 运 维 人 员 有 检查 安全 风险 的 标杆 ,但 是 面 对 网 
络 中 种 类 繁杂 ,数量 众多 的 设备 和 软件 , 运 维 人 员 仍 然 需要 花费 大 量 的 时 间 和 精力 检查 设 
备 \ 收 集 数据 \ 制 作 和 审核 风险 报告 ,以 识别 各 项 不 符合 安全 规范 要 求 的 系统 。 如 何 快速 
有 效 地 在 新 业务 系统 上 实现 上 线 安全 检查 、 第 三 方 人 网 安全 检查 、 合 规 安全 检查 (上 级 检 
查 ) .日 常安 全 检查 等 全 方位 设备 检查 ,又 如 何 集中 收集 核查 的 结果 ,以 及 制作 风险 审核 报 
告 ,并且 最 终 识别 与 安全 规范 不 符合 的 项 目 ,以 达到 整改 合 规 的 要 求 , 这 些 是 网 络 运 维 人 
员 面 临 的 新 的 难题 。 

以 下 是 某 公 司 产品 的 配置 检查 标准 , 见 表 8-1。 

表 8-1 某 公司 产品 的 配置 检查 标准 

产品 具备 专业 配置 核查 的 漏洞 库 .具备 主流 的 操作 系统 .数据 库 .网 络 设备 .安全 设备 的 
相关 安全 配置 核查 漏洞 库 


产品 应 具备 操作 系统 的 配置 核查 ,能 够 对 主流 操作 系统 进行 安全 配置 检查 ,支持 
Windows、Linux、UNIX 等 主流 操作 系统 


产品 应 具备 网 络 设备 的 配置 核查 ,能 够 对 主流 网 络 设 备 进行 安全 配置 检查 ,支持 Cisco、 
华为 Juniper、F5 等 主流 网 络 设备 


产品 应 具备 安全 设备 的 配置 核查 ,能 够 对 主流 安全 设备 进行 安全 配置 检查 ,支持 Cisco、 
华为 赛 门 铁 克 、Juniper、McAfee 等 主流 安全 设备 


产品 具备 中 华人 民 共 和 国 工业 和 信息 化 部 的 电信 和 网 和 互联 网 安全 防护 的 基线 配置 核查 
标准 


产品 具备 中 国 移动 管理 信息 系统 安全 的 配置 核查 标准 
产品 具备 公安 部 的 信息 系统 等 级 保护 的 配置 核查 标准 
产品 具备 中 国电 信 的 528 号 安全 配置 核查 标准 


配置 检查 


8.2.1 中 华人 民 共 和 国 工 业 和 信息 化 部 的 基线 配置 核查 标准 


为 保障 电信 网 与 互联 网 的 安全 ,中 华人 民 共 和 国 工业 和 信息 化 部 就 电信 网 与 互联 网 
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的 基线 配置 核查 给 出 一 个 参考 标准 ,就 电信 网 和 互联 网 的 网 络 设备 的 安全 防护 基线 配置 
及 检测 应 满足 账号 口令 .认证 授权 .日 志 安全 、 协 议 安全 和 其 他 安全 这 5 个 方面 的 要 求 , 具 
体 配置 操作 及 检测 方法 应 结合 具体 设备 。 总 体 要 求 主要 包括 : 

1. 账号 口令 

@ 应 按照 用 户 分 配 账号 ,避免 不 同 用 户 间 共享 账号 ,避免 用 户 账号 和 设备 间 通 信使 
用 的 账号 共享 。 

为 了 控制 不 同 用户 的 访问 级 别 , 应 建立 多 用 户 级 别 。 根 据 用 户 的 业务 需求 ,将 用 户 账 
号 分 配 到 相应 的 用 户 级 别 。 

@ 应 删除 与 设备 运行 .维护 等 工作 无 关 的 账号 。 

@ 应 配置 定时 账户 自动 登 出 ,如 Telnet、SSH、HTTP 等 管理 连接 和 CONSOLE 口 
登录 连接 等 , 登 出 后 用 户 需 再 次 登录 才能 进入 系统 。 

@ 对 于 采用 静态 口令 认证 技术 的 设备 ,口令 长 度 至 少 为 8 位 ,并 至 少 包 括 数 字 、 小 写 
字母 ,大 写字 母 , 标 点 和 特殊 符号 4 类 中 的 3 类 , 且 与 账号 无 相关 性 ,同时 应 定期 更 换 口 
令 , 更 换 周期 不 大 于 90 天 。 

@@ 静态 口令 应 使 用 不 可 逆 加 密 算法 加 密 后 以 密 文 形式 存放 于 配置 文件 中 。 

@ 应 配置 CONSOLE 口 密码 保护 功能 。 

@ 应 修改 root 密码 。 


2. 认证 授权 

在 设备 权限 配置 能 力 内 ,应 根据 用 户 的 业务 需要 配置 其 所 需 的 最 小 权限 。 
系统 远程 管理 服务 Telnet、SSH 应 只 允许 特定 地 址 访问 。 

应 通过 相关 参数 配置 ,与 认证 系统 联动 ,满足 账号 .口令 和 授权 的 强制 要 求 。 


日 志 安 全 
应 配置 日 志 功 能 ,对 用 户 登录 进行 记录 ,并 记录 用 户 对 设备 的 操作 。 
应 配置 日 志 功 能 ,记录 与 设备 相关 的 安全 事件 。 
应 配置 远程 日 志 功能 ,所 有 设备 日 志 均 能 通过 远程 日 志 功能 传输 到 日 志 服 务 器 ， 
并 至 少 支持 一 种 通用 的 远程 标准 日 志 接 口 ,如 SYSLOG FTP 等 。 

@ 应 开启 NTP 服务 ,保证 日 志 功能 记录 的 时 间 的 准确 性 。 路 由 器 交换 机 与 NTP 
Server 之 间 应 开启 认证 功能 。 

@ 设置 系统 的 配置 更 改 信息 应 保存 到 单独 的 change. log 文件 内 。 

4. 协议 安全 

Q@ 应 配置 路 由 策略 ,禁止 发 布 或 接收 不 安全 的 路 由 信息 ,只 接受 合法 的 路 由 更 新 ,只 
发 布 所 需 的 路 由 更 新 。 

@ 应 配置 路 由 器 ,以 防止 地 址 欺骗 攻击 ,不 使 用 ARP 代理 的 路 由 器 应 关闭 该 功能 。 

@ 对 于 具备 TCP/UDP 功能 的 设备 ,应 根据 业务 需要 配置 基于 源 IP 地 址 .通信 协议 
TCP 或 UDP、 目 的 IP 地 址 、 源 端口 .目的 端口 的 流量 过 滤 , 过 滤 所 有 与 业务 不 相关 的 
流量 。 
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@ 网 络 边界 应 配置 安全 访问 控制 ,过 滤 已 知 安全 攻击 数据 包 , 如 UDP1434 端口 ( 防 
止 SQL slammer 蠕虫 )、TCP445、5800、5900( 防 止 Della 蠕虫 ) 。 

@@ 对 于 使 用 IP 进行 远程 维护 的 设备 ,应 配置 使 用 SSH 等 加 密 协议 。 

@ 启用 动态 IGP(RIPV2、OSPF \ISIS 等 )、EGP(BGP、MP-BGP 等 ) 时 ,应 配置 路 由 
协议 认证 功能 (如 MD5 加 密 认 证 ) ,确保 与 可 信 方 进行 路 由 协议 交互 。 

@ 应 配置 SNMP 访问 安全 限制 ,设置 可 接收 SNMP 消息 的 主机 地 址 ,只 允许 特定 主 
机 通过 SNMP 访问 网 络 设 备 。 


@@ 应 关闭 未 使 用 的 SNMP 及 未 使 用 的 RW 权限 。 
@ 应 配置 为 SNMP V2 或 以 上 版 本 。 如 接受 统一 网 管 系统 管理 , 则 应 配置 为 
SNMP V3。 


5. 其 他 安全 

Q@ 应 关闭 未 使 用 端口 和 不 必要 的 网 络 服务 或 功能 ,使 用 的 端口 应 添加 符合 实际 应 用 
的 描述 。 

@ 应 修改 路 由 默认 BANNER 语 ,BANNER 应 没有 系统 平台 或 地 址 等 有 碍 安全 的 

@ 应 开启 配置 文件 定期 备份 功能 ,定期 备份 配置 文件 。 


8.2.2 中国 移动 配置 核查 标准 


中 国 移动 通信 有 限 公 司 为 了 更 好 地 对 信息 系统 的 安全 性 进行 管理 ,就 中 国 移动 的 管 
理 信 息 系统 的 配置 设 定 了 配置 标准 。 


1. 账号 管理 .认证 授权 


1) 账户 
(1) 应 按照 不 同 的 用 户 分 配 不 同 的 账号 ,避免 不 同 用 户 间 共享 账号 ,避免 用 户 账号 和 
设备 间 通 信使 用 的 账号 共享 。 


(2) 应 删除 或 锁定 与 设备 运行 .维护 等 工作 无 关 的 账号 。 系 统 内 存在 不 可 删除 的 内 
置 账号 ,包括 bin sys 等 。 

(3) 限制 具备 超级 管理 员 权 限 的 用 户 远 程 登录 。 远 程 执行 管理 员 权 限 操作 ,应 先 以 
普通 权限 用 户 远程 登录 后 ,再 切换 到 超级 管理 员 权 限 账 号 后 执行 相应 操作 。 

(4) 根据 系统 要 求 及 用 户 的 业务 需求 建立 多 账户 组 ,将 用 户 账号 分 配 到 相应 的 账 
户 组 。 

(5) 对 系统 账号 进行 登录 限制 ,确保 系统 账号 仅 被 守护 进程 和 服务 使 用 ,不 应 直接 由 
该 账号 登录 系统 。 如 果 系统 没有 应 用 这 些 守 护 进程 或 服务 , 则 应 删除 这 些 账 号 。 

2) 口令 

(1) 对 于 采用 静态 口令 认证 技术 的 设备 ,口令 长 度 至 少 为 6 位 ,并 至 少 包 括 数字 、 小 
写字 母 .大 写字 母 和 特殊 符号 4 类 中 的 2 类。 

(2) 对 于 采用 静态 口令 认证 技术 的 设备 .账户 口令 的 生存 期 不 长 于 90 天 。 
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(3) 对 于 采用 静态 口令 认证 技术 的 设备 ,应 配置 设备 ,使 用 户 不 能 重复 使 用 最 近 5 次 
( 含 5 次 ) 内 已 使 用 的 口令 。 

(4) 对 于 采用 静态 口令 认证 技术 的 设备 ,应 配置 当 用 户 连 续 认证 失败 次 数 超过 6 次 
(不 会 6 次 ) ,就 锁定 该 用 户 使 用 的 账号 。 

3) 授权 

(1) 在 设备 权限 配置 能 力 内 ,根据 用 户 的 业务 需要 配置 其 所 需 的 最 小 权限 。 

(2) 控制 用 户 默认 访问 权限 , 当 创 建新 文件 或 目录 时 ,应 屏蔽 掉 新 文件 或 目录 不 应 有 
的 访问 允许 权限 。 防 止 同属 该 组 的 其 他 用 户 及 其 他 组 的 用 户 修改 该 用 户 的 文件 或 更 高 
限制 。 

(3) 控制 FTP 进程 的 默认 访问 权限 , 当 通过 FTP 服务 创建 新 文件 或 目录 时 ,应 屏蔽 
新 文件 或 目录 不 应 有 的 访问 允许 权限 。 


2. 日 志 配 置 要 求 

本 部 分 对 AIX 操作 系统 设备 的 日 志 功 能 提出 要 求 , 主 要 考察 设备 具备 的 日 志 功能 ， 
确保 发 生 安全 事件 后 ,设备 日 志 能 提供 充足 的 信息 进行 安全 事件 定位 。 根 据 这 些 要求 , 设 
备 日 志 应 能 支持 记录 与 设备 相关 的 重要 事件 ,包括 违反 安全 策略 的 事件 ,设备 部 件 发 生 故 
障 或 其 存在 环境 异常 等 ,以 便 通过 审计 分 析 工 具 发 现 安全 隐患 。 如 出 现 大 量 违反 ACL 
规则 的 事件 时 ,通过 对 日 志 的 审计 分 析 , 能 发 现 隐 患 ,提高 设备 维护 人 员 的 警惕 性 ,防止 
恶化 。 

(1) 设备 应 配置 日 志 功 能 ,对 用 户 登录 进行 记录 ,记录 内 容 包 括 用 户 登录 时 使 用 的 账 
号 、 登 录 是 否 成 功 、 登 录 时 间 , 以 及 远程 登录 时 用 户 使 用 的 IP 地 址 。 

(2) 设备 应 配置 日 志 功 能 ,记录 用 户 对 设备 的 操作 ,包括 但 不 限于 以 下 内 容 ; 账号 创 
建 、 删 除 和 权限 修改 \ 口 令 修 改 、 读 取 和 修改 设备 配置 、 读 取 和 修改 业务 用 户 的 话费 数据 、 
身份 数据 ,涉及 通信 隐私 数据 。 需 记录 用 户 账号 .操作 时 间 、 操 作 内 容 以 及 操作 结果 。 

(3) 设备 应 配置 日 志 功能 ,记录 与 设备 相关 的 安全 事件 。 

(4) 设备 应 配置 远程 日 志 功 能 ,将 需要 重点 关注 的 日 志 内 容 传输 到 日 志 服 务 器 。 

(5) 设备 应 配置 日 志 功能 ,记录 用 户 使 用 su 命令 的 情况 .记录 不 良 的 尝试 记录 。 

(6) 系统 上 运行 的 应 用 /服务 也 应 该 配置 相应 的 日 志 选 项 ,如 cron。 


3. IP 安全 配置 要 求 

17》 下 安全 

设备 应 支持 列 出 对 外 开放 的 IP 服务 端口 和 设备 内 部 进程 的 对 应 表 。 
2) 路 由 协议 安全 

(1) 主机 系统 应 禁止 ICMP 重 定向 ,采用 静态 路 由 。 

(2) 对 于 不 做 路 由 功能 的 系统 ,应 关闭 数据 包 转 发 功能 。 


4. 设备 其 他 安全 配置 要 求 
本 部 分 作为 对 AIX 操作 系统 设备 除 账 号 认证 日志、 协议 等 方面 外 的 安全 配置 要 求 
的 补充 ,对 AIX 操作 系统 设备 提出 安全 功能 需求 ,包括 补丁 升级 ,文件 系统 管理 等 其 他 方 
面 的 安全 能 力 ,该 部 分 作为 前 几 部 分 安全 配置 要 求 的 补充 。 
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1) 屏幕 保护 

对 于 具备 字符 交互 界面 的 设备 ,应 配置 定时 账户 自动 登 出 。 

2) 文件 系统 及 访问 权限 

涉及 账号 、 账 号 组 口令、 服 务 等 的 重要 文件 和 目录 的 权限 设置 不 能 被 任意 人 员 删 除 、 
修改 。 

3) 补丁 管理 

@ 安装 系统 时 建议 只 安装 基本 的 OS 部 分 ,其 余 的 软件 包 则 以 必要 为 原则 , 非 必 需 
的 包 不 必 安 装 。 

@ 应 根据 需要 及 时 进行 补丁 装载 。 对 服务 器 系统 应 先进 行 兼容 性 测试 。 

4) 服务 

@ 列 出 需要 服务 的 列表 (包括 所 需 的 系统 服务 ) ,不 在 此 列表 的 服务 需 关 闭 。 

@ NFS 服务 : 如 果 没 有 必要 ,需要 停止 NFS 服务 ;如 果 需 要 NFS 服务 ,就 限制 能 够 
访问 NFS 服务 的 IP 范围。 

5) 启动 项 

列 出 系统 启动 时 自动 加 载 的 进程 和 服务 列表 ,不 在 此 列表 的 需 关闭 。 


8.2.3 公安 部 的 配置 核查 标准 


随 着 政府 信息 化 进程 的 加 速 ,电子 政务 网 络 环境 日 益 复 杂 , 计 算 机 终端 已 成 为 政府 信 
息 安 全 保障 工作 的 薄弱 环节 。 信 息 安全 等 级 保护 是 我 国信 息 安 全 保障 的 一 项 基本 制度 ， 
是 国家 通过 制定 统一 的 信息 安全 等 级 保护 管理 规范 和 技术 标准 ,组 织 公民 ,法 人 和 其 他 组 
织 对 信息 系统 分 等 级 实行 安全 保护 ,对 等 级 保护 工作 的 实施 进行 监督 .管理 。 信 息 安全 等 
级 配置 核查 标准 按照 国家 信息 安全 等 级 保护 标准 规范 ,对 信息 安全 等 级 核查 标准 进行 测 
试 评估 。 其 主要 包括 两 方面 内 容 : 一 方面 主要 是 测评 信息 安全 等 级 保护 要 求 的 基本 安全 
控制 在 信息 系统 中 的 实施 配置 情况 ; 另 一 方面 主要 是 测评 分 析 信息 系统 的 配置 核查 的 可 
行 性 。 


8.2.4 中 国电 信安 全 配置 核查 标准 


中 国电 信 集 团 有 限 公司 (简称 “中 国电 信 ?”) 是 国有 特大 型 通信 骨干 企业 ,资产 规模 超 
过 8000 亿 元 人 民 币 ,年 收入 规模 超过 4100 亿 元 人 民 币 ,位 列 2016 年 度 ( 财 富 》 杂 志 全 球 
500 强 第 133 位 ,多 次 被 国际 权威 机 构 评选 为 亚洲 最 受 尊 崇 企 业 、 亚 洲 最 佳 管理 公司 、. 亚 
洲 全 方位 最 佳 管理 公司 等 。 为 了 标准 化 公司 的 安全 配置 核查 标准 ,颁布 了 528 号 安全 配 
署 核查 标准 。 通 过 采用 统一 的 安全 配置 标准 规范 技术 人 员 在 各 类 操作 系统 上 的 日 常 操 
作 , 让 运 维 人 员 有 了 检查 默认 风险 的 标杆 。 


1. 账号 
中 9 应 按照 不 同 的 用 户 分 配 不 同 的 账号 ,避免 不 同 用 户 间 共享 账号 ,避免 用 户 账 号 和 
设备 间 通 信使 用 的 账号 共享 。 


@ 应 删除 与 运行 .维护 等 工作 无 关 的 账号 。 
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@ 重 命 名 Administrator; 禁 用 guest 账号 。 


2. 口 令 

@ 密码 长 度 的 要 求 : 最 少 为 8 位。 密码 复杂 度 要 求 : 至 少 包含 以 下 4 种 类 别 字符 中 
的 3 种 : 英语 大 写字 母 A,B,C,… ,2Z; 英 语 小 写字 母 a,b,c,…,z; 阿 拉 伯 数字 0,1,2,…， 
9; 非 字母 数字 字符 ,如 标点 符号 ,@、# 、$ 、%、&&、* 等 。 

@ 对 于 采用 静态 口令 认证 技术 的 设备 ,账户 口令 的 生存 期 不 长 于 90 天。 

@ 对 于 采用 静态 口令 认证 技术 的 设备 ,应 配置 设备 ,使 用 户 不 能 重复 使 用 最 近 5 次 
( 含 5 次 ) 内 已 使 用 的 口令 。 

@ 对 于 采用 静态 口令 认证 技术 的 设备 ,应 配置 当 用 户 连 续 认 证 失败 次 数 超过 6 次 
(不 会 6 次 ) ,就 锁定 该 用 户 使 用 的 账号 。 


3. 授权 

@D 本 地 . 远 端 系统 强制 关机 只 指派 给 Administrators 组 。 

@ 在 本 地 安全 设置 中 取得 文件 或 其 他 对 象 的 所 有 权 仅 指派 给 Administrators。 
@ 在 本 地 安全 设置 中 只 允许 授权 账号 本 地 远程 访问 登录 此 计算 机 。 


4. 补丁 

在 不 影响 业务 的 情况 下 ,应 安装 最 新 的 Service Pack 补丁 集 。 对 服务 器 系统 应 先进 
行 兼容 性 测试 。 

5. 防护 软件 

启用 自 带 防 火 墙 或 安装 第 三 方 威胁 防护 软件 。 根 据 业务 需要 限定 允许 访问 网 络 的 应 
用 程序 和 允许 远程 登录 该 设备 的 IP 地 址 范围 。 


6. 防 病毒 软件 
安装 防 病 毒 软件 ,并 及 时 更 新 。 


7. 日 志 安 全 要 求 

@ 设备 应 配置 日 志 功 能 ,对 用 户 登 录 进行 记录 ,记录 内 容 包 括 用 户 登录 使 用 的 账号 、 
登录 是 否 成 功 、 登 录 时 间 , 以 及 远程 登录 时 用 户 使 用 的 IP 地 址 。 

@ 开启 审核 策略 ,以 便 出 现 安全 问题 后 进行 追查 。 

@ 设置 日 志 容 量 和 覆盖 规则 ,保证 日 志 存 储 。 


8. 不 必要 的 服务 .端口 

关闭 不 必要 的 服务 。 

@ 如 需 启 用 SNMP 服务 , 则 修改 默认 的 SNMP Community String 设置 。 

@ 如 对 互联 网 开放 Windows Terminal 服务 (Remote Desktop) , 则 需 修 改 默认 服务 
端口 。 

9. 启动 项 

关闭 无 效 启动 项 。 
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10. 关闭 自动 播放 功能 
关闭 Windows 自动 播放 功能 。 


11. 共享 文件 夹 

Oz 在 非 域 环境 下 ,关闭 Windows 硬盘 默认 共享 ,如 C$、D$ 。 

@ 设置 共享 文件 夹 的 访问 权限 ,只 允许 授权 的 账户 拥有 权限 共享 此 文件 夹 。 
12. 使 用 NTFS 文件 系统 

在 不 毁坏 数据 的 情况 下 ,将 FAT 分 区 改 为 NTFS 格式 。 


13. 网 络 访问 

@ 禁止 匿名 访问 命名 管道 和 共享 。 

@ 禁止 可 远程 访问 的 注册 表 路 径 和 子路 径 。 

14. 会 话 超时 设置 

对 于 远程 登录 的 账户 ,设置 不 活动 会 话 的 连接 时 间 为 15 分 钟 。 
15. 注册 表 设 置 

在 不 影响 系统 稳定 运行 的 前 提 下 ,对 注册 表 信 息 进行 更 新 。 


思 考题 


. 配置 不 当 的 危害 有 哪些 ? 

. 安全 配置 核查 的 关键 问题 有 哪些 ? 

. 安全 基线 及 配置 核查 主要 包含 哪些 技术 ? 
. 日 志 安 全 配置 包括 哪些 内 容 ? 


> 


典型 案例 


本 章 将 介绍 漏洞 扫描 系统 的 应 用 案例 ,主要 针对 不 同 应 用 背景 和 安全 需求 ,分 析 其 存 
在 的 安全 问题 ,提出 解决 方案 ,并 以 360 网 神 SecVSS 3600 漏洞 扫描 系统 为 例 , 展 示 其 部 
署 方 式 和 方案 优势 。 


91 ”互联 网 企业 漏洞 扫描 解决 方案 


9.1.1 应 用 背景 


网 络 的 高 速 发 展 推动 人 类 社会 进入 数字 时 代 , 如 今 网 络 已 经 成 为 企业 制胜 的 必 由 之 
路 。 越 来 越 多 的 企业 将 自己 的 关键 业务 置 于 网 络 之 上 ,并 取得 了 卓越 的 成 绩 。 然 而 , 越 来 
越 多 的 网 络 黑客 利用 漏洞 肆意 侵入 计算 机 , 盗 取 重 要 资料 ,或 者 破坏 网 络 ,使 其 陷 人 瘫痪 ， 
给 企业 造成 巨大 的 损失 。 因 此 ,系统 安全 和 漏洞 防护 越 来 越 受 到 各 大 互联 网 企业 的 重视 ， 
企业 的 网 络 安全 直接 影响 到 它 的 生存 和 发 展 。 

近 几 年 ,政府 部 门 多 次 发 布 安全 规范 和 网 络 安全 要 求 。 

(1) 2013 年 ,公安 部 发 布 了 “计算 机 信息 系统 安全 保护 等 级 划分 准则 ”。 

(2) 2014 年 ,保密 局 针对 涉 密 系统 发 布 了 “涉及 国家 秘密 的 信息 系统 分 级 保护 技术 
要 求 ”。 我 国政 府 越 来 越 重视 网 络 安全 。 

(3) 2015 年 ,新 (国家 安全 法 ) 正 式 颁 布 ,明确 提出 国家 建设 网 络 与 信息 安全 保障 的 
重要 性 。 

(4) 2017 年 6 月 9 日 ,由 四 部 委 联 合 起 草 的 “网 络 关键 设备 和 网 络 安全 专用 产品 目 
录 ” 正 式 发 布 ,其 中 “网 络 脆弱 性 扫描 产品 "在 产品 目录 中 。 

每 隔 一 段 时 间 , 国 际 权威 组 织 CERT 都 会 公布 大 量 的 网 络 安全 漏洞 ,这 些 漏洞 涉及 操 
作 系统 、 网 络 设备 .安全 设备 或 应 用 软件 的 最 新 技术 。 回 顾 2017 年 上 半年 的 安全 事件 ,主要 
与 系统 漏洞 ` Web 安全 事件 、 弱 口令 问题 .信息 泄漏 和 移动 端 操作 系统 安全 问题 事件 相关 。 

然而 ,对 于 国内 网 络 系统 ,不 可 能 也 没有 必要 花费 大 量 的 人 力 、 物 力 长 期 追踪 这 些 新 
技术 以 及 出 现 的 新 漏洞 ,更 做 不 到 及 时 检测 和 发 现 这 些 新 漏洞 的 存在 。 因 此 ,网 络 安全 
扫描 系统 ”应 运 而 生 , 它 是 近 几 年 才 出 现 的 新 型 网 络 安全 技术 。 它 将 国际 权威 组 织 公布 的 
最 新 安全 漏洞 在 最 短 的 时 间 段 内 加 入 到 系统 中 ,使 用 户 能 够 得 到 及 时 的 和 最 新 的 安全 扫 
描 服务 ,从 而 保障 计算 机 和 网 络 系统 的 安全 和 正常 运行 ,这 已 经 成 为 各 个 组 织 能 否 成 功 发 
展 的 关键 性 问题 。 
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9.1.2 ”企业 需求 


企业 信息 网 络 中 ,由 于 网 络 技术 与 协议 上 的 开放 性 ,不 难 发 现 整个 网 络 存在 着 各 种 类 
型 的 安全 隐患 和 潜在 的 危险 ,黑客 及 怀 着 恶意 的 人 员 将 可 能 利用 这 些 安全 隐患 对 网 络 进 
行 攻击 ,造成 严重 的 后 果 。 因 此 ,如 何 保证 重要 的 信息 不 受 黑客 和 不 法 分 子 的 入 侵 , 保 证 
企业 信息 系统 的 可 用 性 ,保密 性 和 完整 性 等 安全 目标 的 问题 摆 在 我 们 面前 。 保 证 企业 信 
息 系统 安全 的 需求 主要 有 以 下 3 个 方面 。 


1. 建立 完善 的 漏洞 管理 和 风险 评估 体系 

目前 企业 中 常用 的 Windows、UNIX 等 操作 系统 、 数 据 库 及 中 间 件 平台 等 软件 或 多 
或 少 地 存在 一 些 已 知 和 未 知 的 安全 漏洞 ,这 些 漏洞 很 容易 成 为 黑客 和 计算 机 病毒 利用 的 
对 象 。 同 时 ,对 于 一 些 大 型 的 企业 信息 化 网 络 ,在 整体 的 层面 缺少 完善 一 致 的 安全 防护 及 
管理 措施 ,导致 分 散 建设 .分散 管 理 ,最 终 容易 造成 安全 防护 水 准 不 统一 。 

因此 ,互联 网 企业 需要 通过 定期 的 漏洞 扫描 和 漏洞 验证 ,实现 针对 信息 系统 和 网 络 的 
脆弱 性 评估 ,并 生成 完善 的 评估 报告 ,形成 规范 的 全 网 漏洞 管理 体系 ,并 辅 以 强大 的 风险 
报表 以 及 解决 方案 建议 ,从 而 实现 从 漏洞 发 现 、 验 证 至 修复 建议 一 套 完整 的 流程 。 


2. 快速 发 现 内 部 资产 可 能 存在 的 风险 

互联 网 企业 需要 能 够 快速 发 现 内 部 资产 可 能 存在 的 风险 ,避免 未 知 资产 带 来 的 安全 
风险 ,实现 内 部 IT 资产 的 标识 和 分 类 管理 ,方便 安全 扫描 策略 的 部 署 和 风险 评估 的 
进行 。 

3. 保障 企业 满足 合 规 要 求 

行业 规范 和 等 级 保护 纲领 性 规范 要 求 运 维 人 员 有 检查 安全 风险 的 标杆 ,但 是 面 对 网 
络 中 种 类 繁杂 数量 众多 的 设备 和 软件 , 运 维 人 员 需 要 花费 大 量 的 时 间 和 精力 检查 设备 、 
收集 数据 、 制 作 和 审核 风险 报告 ,以 识别 各 项 不 符合 安全 规范 要 求 的 系统 。 

为 了 提高 安全 运 维 人 员 的 工作 效率 ,互联 网 企业 需要 通过 安全 防护 系统 自动 化 进行 
安全 合 规 检 测 ,保证 信息 系统 满足 各 项 政策 和 法 规 的 要 求 。 


9.1.3 解决 方案 


360 网 神 SecVSS 3600 漏洞 扫描 系统 是 架构 于 自 有 的 SecOS 网 络 操作 系统 之 上 ,使 
用 基于 脚本 插件 的 规则 库 对 目标 系统 进行 黑 盒 测试 的 工具 ,其 可 检测 的 目标 包括 操作 系 
统 数据库、 网 络 设备 .防火 墙 等 产品 。360 网 神 SecVSS 3600 漏洞 扫描 系统 的 具体 架构 
如 图 9-1 所 示 。 


1. 任务 调度 中 心 
任务 调度 中 心 基于 负载 均衡 ,指定 引擎 等 多 种 方式 进行 任务 调度 。 
2. 插件 引擎 
高 效 的 插件 执行 引擎 .根据 前 置 条 件 判断 插件 是 否 需要 执行 ,减少 多 余 的 测试 用 例 ， 
同时 根据 端口 ,服务 ,版 本 .认证 状况 等 多 种 情形 提供 脚本 ,检测 出 尽量 多 的 安全 问题 , 减 
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用 户 配置 界面 
数据 库 
任务 定时 器 | 
任务 提交 程序 [结果 缓 丰 
任务 调度 中 心 1 
漏洞 扫描 引擎 
插 人 端 服 
件 由 口 务 
引 引 识 识 
区 党 别 别 
插件 库 
图 9-1 360 网 神 SecVSS 3600 漏洞 扫描 系统 的 具体 架构 
少 漏 报 。 
3. 礁 虫 引擎 


疏 虫 引擎 用 于 获取 Web 系统 的 页 面 ,支持 对 JavaScript`.BOM( 浏 览 器 对 象 )、Flash 
的 解析 。 


4. 端口 .服务 识别 

漏洞 扫描 的 基础 模块 采用 多 种 技术 手段 对 端口 进行 探测 ,对 服务 的 识别 不 是 基于 端 
口号 ,而 是 发 送 数据 包 对 服务 器 返回 数据 进行 甄别 ,从 而 判断 服务 的 类 型 ,大 大 提高 了 扫 
描 结 果 的 准确 性 。 

360 网 神 SecVSS 3600 漏洞 扫描 系统 属于 旁 路 部 署 产品 ,其 部 署 方案 如 图 9-2 所 示 。 
该 漏洞 扫描 系统 在 内 网 可 以 对 操作 系统 .数据库 、 网 络 设备 .防火 墙 等 产品 进行 漏洞 扫描 ， 
通过 无 线 网 关 (WiFi) 对 移动 端 设备 的 操作 系统 进行 漏洞 扫描 。 此 外 ,通过 设置 DNS 服 
务 器 实现 对 外 网 的 相关 网 站 进行 Web 漏洞 扫描 。 


9.1.4 用 户 价值 


1. 多 核 高 性 能 处 理 

360 网 神 SecVSS 3600 漏洞 扫描 系统 采用 国际 领先 的 多 核 处 理 器 技术 ,通过 自主 开 
发 的 SecOS 安全 操作 系统 ,能够 高 效 调 用 多 个 内 核 处 理 器 并 行 扫描 漏洞 ,提高 产品 扫描 
性 能 。 在 系统 漏洞 扫描 、Web 漏洞 扫描 并 行 扫 描 时 ,SecOS 系统 会 自动 分 配 CPU 内 存 资 
源 , 提 高 扫描 的 速度 。 


2. 系统 安全 
360 网 神 SecVSS 3600 漏洞 扫描 系统 针对 传统 的 操作 系统 .网络 设备 防火墙、 远程 
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网 站 系统 ”网 站 系统 。 ”网 站 系统 
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网 神 SecVSS 3600 
漏洞 扫描 系统 


数据 库 人 
图 9-2 部 署 方案 


服务 等 系统 层 漏洞 进行 渗透 性 测试 。 测 试 系统 补丁 更 新 情况 、 网 络 设备 漏洞 情况 ,对 远程 
服务 端口 开放 等 情况 进行 综合 评估 ,在 黑客 发 现 系 统 漏洞 前 期 提供 给 客户 安全 隐患 评估 
报告 ,提前 进行 漏洞 修复 ,提前 预防 黑客 攻击 事件 的 发 生 。 

。 操作 系统 : Windows、Linux、UNIX 等 。 

。 网 络 设备 : Cisco .juniper、 华 为 .3com 等 主流 厂商 设备 。 

。 数据 库 : Oracle\MySQL .SQL Server 等 。 


3. Web 安全 

360 网 神 SecVSS 3600 漏洞 扫描 系统 针对 Web 安全 方面 也 有 独到 之 处 。Web 安全 
是 近年 来 新 兴 的 互联 网 安全 研究 方向 。360 网 神 SecVSS 3600 漏洞 扫描 系统 针对 SQL 
注入 、XSS 跨 站 脚本 、 信 息 泄 漏网 络 怜 虫 .目录 遍历 等 Web 攻击 方式 进行 模拟 黑客 渗透 
攻击 评估 。 

评估 客户 网 站 存在 的 各 种 Web 安全 隐患 ,针对 网 站 开发 中 出 现 的 安全 隐患 进行 评 
佑 ,在 黑客 攻击 网 站 前 期 预知 Web 安全 漏洞 ,提前 告知 客户 问题 所 在 ,提醒 客户 及 时 修复 
Web 漏洞 ,避免 “网 站 被 黑 的 发 生 。 

。 网 站 代码 : JSP.PHP Java 等 代码 合 规 性 。 

。 Web 攻击 : SQL 注入 、XSS 跨 站 脚本 .目录 遍历 .信息 泄漏 等 主流 Web 攻击 方式 。 

。 中 间 件 系统 : Apache .Tomcat IIS 等 。 
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4. 弱 口 令 探 测 

360 网 神 SecVSS 3600 漏洞 扫描 系统 内 置 有 弱 口 令 字典 ,针对 账户 和 密码 相同 、 密 码 
相对 比较 简单 .默认 密码 等 问题 进行 自动 探测 ,测试 口令 是 否 存 在 弱 口 令 现象 ,提高 账号 
防 破解 的 安全 性 。 破 解密 码 的 难度 主要 取决 于 密码 长 度 以 及 设置 难度 ,密码 长 度 越 长 . 设 
置 难度 越 高 ,黑客 破解 的 时 间 越 长 ,破解 难度 越 大 。 

。 基于 协议 : Telnet、FTP、SSH 、POP3、SMB、SNMP.、RDP、DB2 等 。 

。 口令 组 合 : 用 户 名 密码 、 组 合 模式 等 。 


5. 配置 检查 
360 网 神 SecVSS 3600 漏洞 扫描 系统 的 配置 检查 功能 ,能 针对 操作 系统 、 数 据 库 、 网 
络 设备 等 系统 的 配置 进行 核查 ,并 且 自 动 启动 软件 执行 过 程 的 达标 检测 。 


6. 移动 端 设 备 

360 网 神 SecVSS 3600 漏洞 扫描 系统 可 以 扫描 PC 端的 操作 系统 。 此 外 ,在 移动 端 设 
备 广泛 使 用 的 大 趋势 下 ,通过 WiFi 扫描 移动 端 上 的 操作 系统 的 安全 漏洞 也 必 不 可 少 。 
目前 针对 iOS、Android、BlackBerry 等 移动 端的 操作 系统 频繁 曝光 的 漏洞 进行 安全 扫描 。 


7. 拒绝 服务 攻击 

360 网 神 SecVSS 3600 漏洞 扫描 系统 针对 最 简单 、 最 暴力 的 抗拒 绝 服务 攻击 也 提供 
测试 扫描 ,提高 操作 系统 、 硬 件 设备 ,网 站 服务 的 大 流量 压力 下 的 抗 攻击 能 力 ,帮助 客户 排 
除 因为 遭受 拒绝 服务 攻击 造成 的 服务 器 宕 机 、 设 备 宕 机 无 法 提供 服务 等 安全 问题 。 


8. 探测 未 知 资产 

360 网 神 SecVSS 3600 漏洞 扫描 系统 提供 探测 未 知 资产 功能 ,针对 一 个 IP 段 进行 自 
动 漏洞 扫描 ,自动 针对 在 线 的 IP 地 址 的 主机 进行 漏洞 扫描 ,使 用 ARP .ICMP.TCP .UDP 
等 多 种 协议 测试 在 线 主机 是 否 存活 ,并 提供 在 线 主机 的 漏洞 扫描 功能 。 

9. 漏洞 验证 

360 网 神 SecVSS 3600 漏洞 扫描 系统 提供 漏洞 验证 功能 ,主要 针对 GET、POST、 
PUT Delete 的 SQL 注入 进行 自动 验证 和 手工 验证 ,提供 简单 的 SQL 注入 手工 验证 
工具 。 

10. 漏洞 库 标准 

360 网 神 SecVSS 3600 漏洞 扫描 系统 兼容 CVE、CNNVD、Bugtraq ID .CVSS 等 特征 
库 标准 。 漏 洞 库 提供 CVE .CNNVD 等 标准 的 漏洞 库 编号 、 漏 洞 信息 说 明 等 情况 ,并 提供 
漏洞 的 解决 方案 的 说 明 。 


1. 简 述 互联 网 企业 的 漏洞 扫描 解决 方案 。 
2. 360 网 神 SecVSS 3600 漏洞 扫描 系统 的 解决 方案 有 哪些 优势 ? 
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Access Control List 

Advanced Interactive Executive 
Application Programming Interface 
Advanced Persistent Threat 


Address Resolution Protocol 


Application Security Verification Standard 


Automated Teller Machine 


Bridge Protocol Data Unit 


Content-addressable Memory 
Computer Emergency Response Team 
Content Security Policy 

Cross Site Request Forgery 


Cascading Style Sheets 


Database Administrator 

Distributed Denial of Service 
Dynamic Host Configuration Protocol 
Domain Name System 

Disk Operating System 


Dynamic Trunking Protocol 


Exterior Gateway Protocol 


File Transfer Protocol 


访问 控制 列表 

高 级 交互 执行 体 

应 用 程序 编程 接口 

针对 特定 目标 的 攻击 
地 址 解析 协议 

应 用 安全 评估 标准 
自动 取款 机 


网 桥 协议 数据 单元 


内 容 可 寻 址 存储 器 


计算 机 安全 应 急 响应 组 


内 容 安全 策略 
跨 站 请 求 伪造 
层 秋 样式 表 


数据 库 管理 员 

分 布 式 拒 绝 服务 
动态 主机 配置 协议 
域名 系统 

磁盘 操作 系统 
动态 中 继 协议 


外 部 网 关 协 议 


文件 传输 协议 


OCR 
OWASP 


P 


PC 


Hyper Text Markup Language 
Hyper Text Transfer Protocol 


Internet Control Message Protocol 
Interior Gateway Protocol 
Internetwork Operating System 
Internet Protocol 

Intrusion Prevention System 


Internet Protocol Security 


Media Access Control 
Message Digest Algorithm 5 
Mean Time To Repair 


Network Address Translation 


Network File System 


Optical Character Recognition 


Open Web Application Security Project 


Personal Computer 
Personal Identification Number 


Public Key Infrastructure 


Runtime Application Self-Protection 


Simple Network Management Protocol 
System on Chip 
Simple Object Access Protocol 


IE 基文 缩 咯 话 mm 


超 文本 标记 语言 
超 文本 传输 协议 


Internet 控制 报 文 协议 
内 部 网 关 协 议 
互联 网 操作 系统 
互联 网 协议 

入 侵 防 御 系 统 
互联 网 安全 协议 


媒体 访问 控制 子 层 协议 
消息 摘要 算法 第 5 版 
平均 修复 时 间 


网 络 地 址 转换 
网 络 文件 系统 


光学 字符 识别 
开放 式 Web 应 用 程序 安全 项 目 


个 人 计算 机 
个 人 识别 号 码 
公 钥 基础 设施 


实时 应 用 自我 保护 


简单 网 络 管理 协议 
系统 级 芯片 
简单 对 象 访问 协议 
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SQL 
SSH 
SSID 
STP 
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Structured Query Language 
Secure Shell 
Network Name 


Spanning Tree Protocol 


Transmission Control Protocol 
Trivial File Transfer Protocol 


Time To Live 


User Agent 

User Datagram Protocol 
User Interface 

Universal Plug and Play 
Uniform Resource Locator 


Universal Serial Bus 


Virtual Local Area Network 
Virtual Private Network 
VLAN Trunk Protocol 


Web Application Firewall 
Wired Equivalent Privacy 
WiFi Protected Access 


Wireless Security Settings 


Extensible Markup Language 
Cross Site Scripting 


结构 化 查询 语言 
安全 外 围 程序 
网 络 名 称 
生成 树 协议 


传输 控制 协议 
普通 文件 传送 协议 
生存 时 间 


用 户 代理 
用 户 数 据 报 协议 
用 户 界面 
通用 即 插 即 用 
统一 资源 定位 符 
通用 串 行 总 线 


虚拟 局 域 网 
虚拟 专用 网 络 
VLAN 中 继 协 议 


Web 应 用 防火 墙 
有 线 等 效 保密 
WiFi 保护 访问 
无 线 安全 设置 


可 扩展 标记 语言 
跨 站 脚本 攻击 


参考 文献 


王 清 . 0day 安全 : 软件 漏洞 分 析 技术 LMJ. 北京: 电子 工业 出 版 社 ,2011. 
林 醒 泉 . 漏洞 战争 : 软件 漏洞 分 析 精 要 [MJ]. 北京: 电子 工业 出 版 社 ,2016. 
Mike Shema。、Web 应 用 漏洞 侦 测 与 防御 LMJ. 北京 : 机 械 工业 出 版 社 ,2014. 
哈里 斯 . 灰 帽 攻击 安全 手册 [MJ]. 北京: 清华 大 学 出 版 社 ,2007. 
Jon Erickson, 范 书 义 ， 田 玉敏 . 黑客 之 道 : 漏洞 发 掘 的 艺术 LMDJ. 北京: 中国 水 利水 电 出 版 
社 ,2005. 
Tom Gallagher, Lawrence Landauer，Bryan Jeffries. 安全 漏洞 追踪 [LM]. 北京 : 电子 工业 出 版 
社 ,2008. 
刘 游 白 帽 子 讲 Web 扫描 LMJ. 北京: 电子 工业 出 版 社 ,2017. 
OWASP T. Top 10-2017[J]. The Ten Most Critical Web Application Security Risks，2017. 
吴 松 泽 . 基于 Web 安全 的 渗透 测试 技术 研究 [DJ]. 哈尔滨 : 哈尔滨 师范 大 学 ，2015. 
贺 英 杰 , 赵 正 海 . Web 安全 测试 用 例 设计 研究 [J], 电脑 知识 与 技术 : 学 术 交 流 ，2016 (3): 
32-33. 
李 永 钢 ， 彭 云 峰 ，Web 安全 漏洞 的 研究 [站 ,科技 视界 ,2014 (32) : 96. 
许 莹 莹 , 梁 华 庆 , 刘 伟 , 等 .基于 Fuzzing 技术 提升 XSS 漏洞 防御 水 平 的 研究 [站 电子 设计 工 
程 ，2017 (5): 33-36. 
江 导 . 浏览 器 WEB 安全 威胁 检测 技术 研究 与 实现 [J]. 网 络 安全 技术 与 应 用 ，2014(2): 
100-101. 
葛 强 , 李 俊 , 胡 永 权 . XSS 攻击 机 制 及 防御 技术 浅 谈 []. 计算 机 时 代 , 2016(10): 11-14. 
赵 星 . Web 漏洞 挖掘 与 安全 防护 研究 LD]. 太原: 中 北大 学 ,2016. 
李 驰 , 李 林 . 基于 HTML5 的 Web 前 端 安全 性 研究 [J]. 软件 导 刊 ， 2016, 15(5): 185-188. 
冯 贵 兰 . 主流 Web 漏洞 扫描 工具 的 测试 与 分 析 [ 站 .信息 与 电脑 ,2016(13): 111-112. 
陈 春 玲 , 张 凡 , 余 瀚 .Web 应 用 程序 漏洞 检测 系统 设计 [J]. 计算 机 技术 与 发 展 ，2017，27(9) : 
101-105. 
陈 务 ，Web 漏洞 扫描 器 一 览 []. 计算 机 与 网 络 , 2016(20) : 56-57. 
严 亚 薄 , 胡 勇 . 浅 析 CSRF 漏洞 检测 、 利 用 及 防范 [J]. 通信 技术 , 2017, 50(3): 558-564. 
刘 笑 杭 . SQL 注入 漏洞 检测 研究 [Dj]. 杭州 : 杭州 电子 科技 大 学 ,2014. 
杜 雷 , 辛 阳 . 基于 规则 库 和 网 络 仆 虫 的 漏洞 检测 技术 研究 与 实现 [J]. 信息 网 络 安全 ，2014 
(10) : 38-43. 
余 学 永 , 江 国 华 . 一 种 跨 站 脚本 的 检测 方法 [JJ. 小 型 微型 计算 机 系统 ，2015，36 (8) : 
1763-1768. 
王 琪 . 面向 Web 应 用 的 漏洞 扫描 技术 研究 [LD]. 南京 : 南京 邮电 大 学 ，2016. 
张 金发 . Web 应 用 常见 漏洞 的 产生 场景 和 检测 规则 研究 L[D]. 广州 : 暨南 大 学 ，2015. 
曹 来 成 , 赵 建 军 , 崔 翔 , 等 .网络 空 间 终 端 设备 识别 框架 []]. 计算 机 系统 应 用 , 2016, 25(9) : 
60-66. 
辣 淑 敌 , 王 文 杰 , 张 玉 清 . 一 种 有 效 的 Web 指纹 识别 方法 [J]. 中 国 科 学 院 大 学 学 报 ,2016,33 
(5) : 679-685. 
江 军 , 伐 航 , 吕 志 泉 , 等 . 浏览 器 指纹 探测 识别 技术 研究 [站]. 保密 科学 技术 , 2017 (1) : 38-40. 


ED 漏洞 扫描 与 防护 Eee 


姚 冰 莹 . 指纹 识别 技术 在 Web 云 存储 安全 认证 中 的 应 用 研究 L[D]. 广东 : 广东 工业 大 学 ，2014. 
简 雄 , 林 先 念 . Linux 操作 系统 下 的 安全 问题 研究 [J]. 软件 导 刊 ,2009(8) : 156-157. 

孙 小 平 . 网 络 系统 安全 漏洞 扫描 浅 析 [ 站 .网络 安 全 技术 与 应 用 ,2016(3): 22-23. 

靳 铂 . 基于 Linux 系统 的 网 络 安全 问题 及 其 对 策 [中 . 计算 机 光盘 软件 与 应 用 , 2010(15) : 45-46. 
关 通 , 任 酸 荔 , 伟 平 , 等 . 基 Windows 的 软件 安全 典型 漏洞 利用 策略 探索 与 实践 [站 . 信息 网 络 安 
全 , 2014(11). 

李 智 . UNIX 操作 系统 的 安全 问题 [中 . 中 国 科 技 博览 ,2010(13) : 109. 

魏 英 万. 浅 析 计 算 机 网 络 安全 防范 措施 []]. 中 国 新 技术 新 产品 , 2011(4): 40. 

黎 源 , 蔡 大 海 . 集中 弱 口令 检查 系统 的 分 析 与 设计 [J]. 中 小 企业 管理 与 科技 ,2015 (19): 
183-185. 

张 林 , 曾 庆 凯 . 软件 安全 漏洞 的 静态 检测 技术 []]. 计算 机 工程 , 2008,34(12): 157-159. 

宋 超 臣 , 黄 俊 强 , 王 大 萌 , 等 . 计算 机 安全 漏洞 检测 技术 综述 [J]. 信息 网 络 安全 ，2012(1): 
77-79. 

刘 颖 , 王 丽 菊 . Web 应 用 程序 常见 漏洞 研究 []. 计算 机 光盘 软件 与 应 用 ,2011(21): 63. 

周 浩 ， Windows 系统 常见 漏洞 分 析 []]. 微电脑 世界 , 2002(22): 90-91. 

赵 龙 厚 . 浅 谈 数据 库 系统 安全 中 的 常见 漏洞 []]. 中 国 高 新 技术 企业 ，2008(5) : 99. 

王 雨 晨 . 系统 漏洞 原理 与 常见 攻击 方法 [J]. 计算 机 工程 与 应 用 , 2001,37(3): 62-64. 

王 继 龙 . 常见 Web 应 用 安全 漏洞 及 应 对 策略 []. 中 国教 育 网 络 , 2007(8): 75. 

曾 少 宁 . 5 个 常见 的 Web 应 用 漏洞 及 其 解决 方法 [J]. 计算 机 与 网 络 , 2013,39(12): 40. 

郑平 . 浅 谈 计算 机 网 络 安全 漏洞 及 防范 措施 []. 计算 机 光盘 软件 与 应 用 , 2012(3); 31-32. 

马 海 涛 . 计算 机 软件 安全 漏洞 原理 及 防范 方法 [有 ]. 科 协 论坛 : 下 半月 , 2009,(6): 49. 

杨 斯 杰 , 武文 斌 . 数据库 漏洞 分 类 研究 []. 电脑 知识 与 技术 : 学 术 交流 ，2010,6(9): 6905-6906. 
张 延 红 , 范 刚 龙 . SQL Server 数据 库 安 全 漏洞 及 防范 方法 [J]. 计算 机 时 代 , 2006(10): 16-18. 
Song Q D, Yan D J. Loopholes in Computer Security and Response Measures[J]. Computer 
Security, 2009. 

Gao L, Zhang H Q. Loopholes in Computer Systems Analysis and Detection[J]. Journal of 
Shangqiu Vocational and Technical College, 2010. 

杨 林 , 杨 鹏 , 李 长 齐 . Web 应 用 漏洞 分 析 及 防御 解决 方案 研究 [J]. 信息 安全 与 通信 保密 ,2001 
(2): 58-60,63. 

张 治 兵 , 倪 平 , 周 开 波 . 网 络 设备 安全 漏洞 发 展 趋势 研究 [J]. 现代 电信 科技 ，2017，47(1) : 
12-17. 

张 庆 , 宋 芬 , 沈 国良 .网络 设备 安全 措施 分 析 与 研究 [J]. 网 络 安全 技术 与 应 用 ，2008(8): 
33-34. 

郑 彦 平 .网 络 设备 安全 措施 与 实现 [J]. 煤炭 技术 , 2011, 30(12): 206-207. 

杨 富国 . 网 络 设备 安全 与 防火 墙 [MJ. 北京 : 清华 大 学 出 版 社 ,2005. 

曹 裔 , 王 欢 . 网 络 设备 与 网 络 安全 []]. 计算 机 安全 . 2010(6): 67-69. 

元 雅 敏 , 戚 益 中 . 电力 系统 信息 网 络 安全 漏洞 及 防护 措施 [J]. 科技 与 企业 ,2014(21): 66. 

杨 国 辉 . 俄罗斯 普通 网 络 设备 漏洞 分 析 [J]. 中 国信 息 安全 , 2012(11) :88. 

高 洪 博 , 李 清 宝 , 徐 冰 ,等 . 网 络 设备 硬件 漏洞 研究 [J]. 计算 机 工程 与 设计 ，2009，30(22) ， 
5075-5077. 

张 苏 泉 . 网 络 路 由 设备 漏洞 分 析 测 试 平台 设计 与 实现 LD]. 成 都 : 西南 石油 大 学 ,2016. 

高 健 . 基于 网 络 漏洞 分 析 的 安全 设备 部 署 设计 研究 [站 . 网 络 安全 技术 与 应 用 , 2017(4) :37. 


[74] 


[75] 


IE 参考 文献 mm 


高 凌 雯 . 网 络 漏洞 扫描 原理 分 析 []]. 福建 电脑 .2009,25(9) :58-59. 

刘 燕 秋 , 勉 玉 静 , 赵 文 耘 .软件 配置 管理 中 版 本 管理 技术 研究 [J]. 计算 机 工程 与 应 用 , 2003,39 
(21): 68-71. 

黄 军 , 刘 晓 梅 , 熊 勇 , 等 . 软件 配置 管理 及 其 工具 应 用 [Mj]. 北京 : 人 民 邮 电 出 版 社 , 2002. 

倪 晓 峰 , 赵 文 耘 , 张 捷 . 构件 软件 配置 管理 以 及 其 版 本 控制 技术 研究 [J]. 计算 机 工程 与 应 用 ， 
2005, 41(2): 94-96. 

王 敏 , 王 攀 . 批 处 理 在 软件 配置 管理 中 的 应 用 []]. 计算 机 应 用 , 2005, 1. 

周 健 . 软件 配置 管理 在 软件 开发 中 的 应 用 [J]]. 铁路 计算 机 应 用 , 2004,13(S1): 43-45. 

王 环 . 软件 配置 管理 概述 [J]. 航天 器 工程 ,2000, 9(3): 53-59. 

王 甜 , 夏 斌 伟 , 徐 辉 ,等 . 信息 系统 安全 等 级 测评 配置 检查 工具 研究 与 实现 [J]. 计算 机 应 用 与 软 
件 , 2014, 31(7) :311-315. 

江 国 建 , 马力. 基于 配置 模糊 的 软件 漏洞 检测 方法 [J]. 计算 机 工程 与 设计 ,2012, 33(1): 
101-105. 

罗 方 斌 , 陆 永宁 , 麦 中 凡 . 软件 配置 管理 技术 进展 [J]. 计算 机 工程 与 应 用 ，2002，38(12): 
94-96. 

张 路 , 谢 冰 , 梅 宏 ,等 .基于 构件 的 软件 配置 管理 技术 研究 [J]. 电子 学 报 ，2001，29(2): 
266-268. 

于 宏 霞 , 陈 凯 , 白 英 彩 . 基线 技术 在 软件 配置 管理 过 程 中 的 应 用 [站 . 计算 机 应 用 与 软件 ，2006， 
23(2) :43-45. 

严 晓 光 , 王 小 刚 , 陈 曼 煜 . 软件 配置 管理 的 问题 .目的 .层次 和 策略 [J]. 计算 机 工程 与 科学 ， 
2009, 31(5) :90-92. 

任 永昌 , 朱 注 , 李 仲 秋 . 基于 基线 的 软件 配置 管理 版 本 控制 [J]. 计算 机 技术 与 发 展 , 2012(11): 
113-115. 


129 


